> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/cloud-app-activity-profiler/permissions.md). # Berechtigungen ### Übersicht Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den **Cloud App Activity Profiler**.\ Der Agent verwendet **schreibgeschützten Zugriff** für Microsoft Defender for Cloud Apps-, Microsoft Defender for Endpoint- und Microsoft Entra ID-Daten über dokumentierte **Microsoft Graph API** und **Security Copilot Plugins**.\ Es ist darauf ausgelegt, SaaS-Domain-Aktivitäten, Alarmkorrelationen und Bedrohungsindikatoren zu analysieren **ohne** irgendwelche Konfigurationen oder Richtlinien in Ihrer Umgebung zu ändern. *** ### So funktioniert es Der Agent verbindet sich sicher mit Ihrem Microsoft 365-Tenant und den Defender for Cloud Apps-Telemetriedaten, um SaaS-Aktivitätsdaten zu erfassen und zu korrelieren.\ Er erkennt neue oder stark frequentierte Domänen, reichert Erkenntnisse mit Alarm- und Threat-Intelligence-Kontext an und erstellt eine Risikobewertung mit Governance-Empfehlungen wie **ZULASSEN**, **ÜBERWACHEN**, oder **BLOCKIEREN**. Alle Vorgänge basieren auf den folgenden Grundsätzen: * **Schreibgeschützter Zugriff:** Der Agent verändert oder entfernt keine Daten. * **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Berechtigungen für die Analyse der Domänenaktivität angefordert. * **Transparenz:** Alle Datenabrufe erfolgen über dokumentierte Graph API-Endpunkte oder Security Copilot Plugins und sind in Microsoft Entra-Protokollen vollständig prüfbar. *** ### Erforderliche Entra ID- und Defender-Rollen Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten betreibt, die folgenden Rollen und Berechtigungen zu: | Rolle | Beschreibung | | ------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------ | | **Security Reader** | Bietet schreibgeschützten Zugriff auf Sicherheitsinformationen und Warnungen in Microsoft Defender for Cloud Apps. | | **Cloud App Security Administrator** *(optional)* | Gewährt bei Bedarf zusätzliche Einblicke in Cloud App-Konfigurationen und Erkennungsdaten. | | **Directory Reader** | Ermöglicht Zugriff auf Benutzer- und Gruppendaten für die Normalisierung und Korrelation von Aktivitäten. | Diese Rollen folgen dem **Prinzip der geringsten Berechtigung** und kann auf bestimmte Ressourcen beschränkt werden, wenn kein tenantweiter Zugriff erforderlich ist. *** ### Transparenz beim Datenzugriff Die folgende Tabelle beschreibt, auf welche Datenquellen der Agent zugreift und zu welchem Zweck: | Datentyp | Zugriffslevel | Zweck | | -------------------------------------------------------- | ---------------- | ---------------------------------------------------------------------------------------------------------------------- | | Cloud-App-Aktivitätsprotokolle (CloudAppEvents) | Schreibgeschützt | Um neue und stark frequentierte Domänen zu identifizieren und mögliche Exfiltrations- oder Upload-Spitzen zu erkennen. | | Alarmdaten (AlertInfo und AlertEvidence) | Schreibgeschützt | Um Alarme mit hoher Schwere und Verhaltensweisen zu korrelieren, die mit jeder Domäne verbunden sind. | | Threat-Intelligence-Indikatoren (ThreatIntelligence.DTI) | Schreibgeschützt | Um Domänen mit Reputationsdaten und bekannten Bedrohungszuordnungen anzureichern. | | Verzeichnis- und Benutzerdaten (optional) | Schreibgeschützt | Um Benutzeraktivitäten zu normalisieren und benutzerbasierte Risikometriken zu berechnen. | **Datenverarbeitung:** * Der Agent ändert oder löscht keine Defender-, Entra- oder Graph-Daten. * Die gesamte Verarbeitung erfolgt innerhalb der Grenzen Ihres Tenants, sodass kein Datenexport stattfindet. * Alle Datenzugriffe werden in den Microsoft Entra-Auditprotokollen für volle Transparenz und Compliance protokolliert. * Der Agent arbeitet nur mit delegierten oder genehmigten Anwendungsberechtigungen, die von Ihrem Administrator erteilt wurden. *** ### Agenteneinstellungen Der Agent unterstützt Konfigurationsparameter zur Steuerung von Erkennungstiefe, Analyseumfang und Ausgabeformat: | Einstellung | Optionen | Beschreibung | | ------------------- | ------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------- | | **Scope** | `domains`, `Warnungen`, `threatIntel` | Legt fest, welche Datenquellen in die Analyse einbezogen werden. | | **Modus** | `schnell`, `standard`, `tief` | Gibt die Analysetiefe und den Anreicherungsgrad an. | | | • **schnell** – Identifiziert neu beobachtete Domänen und grundlegende Aktivitätsmetriken. | | | | • **standard** – Korreliert Warnungen und Threat-Intelligence-Daten für eine kontextbezogene Bewertung. *(empfohlen)* | | | | • **tief** – Vollständige Anreicherung und Bewertung mit detaillierter Playbook-Generierung und Empfehlungen zur Domänen-Governance. | | | **Lookback Window** | 7, 14, 30 Tage | Legt fest, wie weit zurück Aktivitätsdaten ausgewertet werden. | Stellen Sie sicher, dass alle erforderlichen Rollen der Identität zugewiesen sind, die den Agenten ausführt, bevor Sie eine Analyse starten. *** ### Sicherheits- und Compliance-Überlegungen * Die gesamte Kommunikation mit Microsoft Graph- und Defender-APIs wird mit **HTTPS** verschlüsselt und durch **Microsoft-Identitätsdiensten**. * Der Agent erfüllt **Zero-Trust** und **Prinzip der minimalen Rechtevergabe** Designprinzipien. * Berechtigungen können jederzeit überprüft oder widerrufen werden über **Microsoft Entra** Rollenverwaltung oder Zustimmungskonfiguration. * Der Agent führt keine Schreib- oder Konfigurationsvorgänge aus und gewährleistet so Betriebssicherheit und Compliance-Integrität. *** ### Nächste Schritte 1. Stellen Sie sicher, dass dem Dienstkonto oder der verwalteten Identität die erforderlichen Rollen und API-Berechtigungen zugewiesen wurden. 2. Überprüfen Sie vor der Bereitstellung die Governance- und Rollenzuweisungsrichtlinien Ihrer Organisation. 3. Konfigurieren Sie den gewünschten Analysemodus (`schnell`, `standard`, oder `tief`) basierend auf Größe und Sensibilität Ihrer Umgebung. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/de/agents/cloud-app-activity-profiler/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.