> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/forensic-agent-core/permissions.md). # Berechtigungen ### Übersicht Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten.\ Der Agent verwendet **schreibgeschützten Zugriff** zu Sicherheitsvorfalldaten, Warnungen, Geräte- und Identitätsrisikodaten über **Security Copilot Plugins**.\ Es wurde entwickelt, um forensische und Bedrohungsuntersuchungen in Microsoft Defender XDR zu unterstützen, indem es Vorfälle analysiert, Zusammenhänge herstellt und Ergebnisse mit externen Intelligence-Quellen anreichert. *** ### So funktioniert es Der Agent stellt über Security Copilot Plugins eine sichere Verbindung zu Ihrer Microsoft Defender XDR-Umgebung her, um Vorfalldetails, Warnungen, Ergebnisse aus der erweiterten Bedrohungssuche und zugehörige Entitätsdaten zu erfassen.\ Anschließend reichert er diese Erkenntnisse mit externer Bedrohungsintelligenz an, um eine einheitliche Untersuchungsansicht zu erstellen. Alle Interaktionen folgen diesen Grundsätzen: * **Schreibgeschützter Zugriff:** Der Agent ändert, behebt oder löscht keine Vorfälle oder Warnungen. * **Prinzip der minimalen Rechtevergabe:** Es werden nur die Rollen benötigt, die erforderlich sind, um Vorfall- und Bedrohungsdaten zu lesen. * **Transparenz:** Der gesamte Datenzugriff ist in Microsoft Entra prüfbar und folgt den üblichen Sicherheits- und Compliance-Kontrollen. *** ### Erforderliche Entra ID-Rollen Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu: | Rolle | Beschreibung | | ------------------- | ------------------------------------------------------------------------------------------------------------------- | | **Security Reader** | Bietet schreibgeschützten Zugriff auf Vorfälle, Warnungen und Untersuchungsdaten in Defender XDR. | | **Global Reader** | Gewährt schreibgeschützten Zugriff auf Microsoft 365-Dienste für die Korrelation und domänenübergreifenden Kontext. | #### Optionale Rollen für erweiterte Analysen | Rolle | Beschreibung | | -------------------------- | ------------------------------------------------------------------------------------------------------------------------------------ | | **Security Administrator** | Ermöglicht die Ausführung von Abfragen zur erweiterten Bedrohungssuche und eine tiefere Datenkorrelation innerhalb von Defender XDR. | {% hint style="info" %} Zuweisen **Security Administrator** ermöglicht erweiterte Funktionen zur Bedrohungssuche, ist aber für die Standardanalyse nicht erforderlich. {% endhint %} *** ### Transparenz beim Datenzugriff Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck. | Datentyp | Zugriffslevel | Zweck | | ---------------------------------------------- | ---------------- | ------------------------------------------------------------------------------------------------------------------------- | | **Sicherheitsvorfälle und Warnungen** | Schreibgeschützt | Um Warnungen zu untersuchen und zu korrelieren, Ursachen zu identifizieren und die Auswirkungen zu bewerten. | | **Daten zur erweiterten Bedrohungssuche** | Schreibgeschützt | Um Muster- und Verhaltensanalysen über Entitäten und Telemetrie hinweg durchzuführen. | | **Geräte- und Endpunktdaten** | Schreibgeschützt | Um Warnungen mit Geräten, Prozessen und Netzwerkaktivitäten zu verknüpfen. | | **Identitätsrisikodaten** | Schreibgeschützt | Um das Benutzerverhalten zu analysieren und Vorfälle mit einer möglichen Kompromittierung von Identitäten zu korrelieren. | | **Indikatoren externer Bedrohungsintelligenz** | Schreibgeschützt | Um Warnungen und Entitäten mit kontextbezogenen Risikoinformationen anzureichern. | **Datenverarbeitung:** * Der Agent **nicht** ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze. * Der gesamte Zugriff ist auf **Security Copilot Plugins** unter Verwendung delegierter Berechtigungen oder Berechtigungen auf Anwendungsebene. * Zugriffsaktivitäten werden in **Microsoft Entra-Auditprotokollen** für Compliance und Nachverfolgbarkeit beschränkt. *** ### Agentennutzung Geben Sie beim Ausführen des Agents die erforderlichen Eingaben an, um Vorfälle zu analysieren oder Untersuchungszusammenfassungen zu erstellen. | Eingabetyp | Beschreibung | Beispiel | | ---------------- | ----------------------------------------- | -------------------------------------------------------- | | **Erforderlich** | Vorfalls-ID | `"Vorfälle 12345 analysieren"` | | **Optional** | Zusätzliche Parameter für den Kontext | `"Forensischen Bericht für Vorfalls-ID 67890 erstellen"` | | **Optional** | Tiefenanalyse- oder Zusammenfassungsmodus | `"Tief in Vorfall 45678 eintauchen"` | Vorfalls-IDs finden Sie im **Microsoft 365 Defender-Portal** unter:\ **Vorfälle & Warnungen → Vorfälle.** *** ### Externe Bedrohungsintelligenz-Dienste Der Agent reichert Indikatoren automatisch mit den folgenden externen Diensten an — es sind keine Konfiguration und keine API-Schlüssel erforderlich: | Dienst | Zweck | | -------------------------------------- | ------------------------------------------------------------------- | | **Shodan** | Port-Scanning, Diensterkennung und Erkennung von Schwachstellen. | | **SSL/TLS-Analyse** | Prüfung und Validierung von Zertifikatsmetadaten. | | **WHOIS-Dienste** | Abfrage von Domain-Registrierung und Inhaberschaft. | | **CIRCL** | Abfragen von Malware-Hashes und Prüfung der Dateireputation. | | **Reputationsdienste für IPs/Domains** | Bewertung und kontextbezogene Risikobewertung externer Indikatoren. | Diese Dienste werden im Rahmen jeder Analyse automatisch abgefragt, um den Erkennungskontext zu verbessern und die Genauigkeit der Untersuchung zu erhöhen. *** ### Sicherheits- und Compliance-Überlegungen * Die gesamte Kommunikation über Security Copilot Plugins wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert. * Der Agent hält sich an Microsofts **Zero Trust** und **Prinzip der minimalen Rechtevergabe** . * Der Zugriff kann jederzeit überprüft oder widerrufen werden über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**. *** ### Nächste Schritte * Vergewissern Sie sich, dass dem Administratorkonto die erforderlichen Rollen zugewiesen sind. * Stellen Sie sicher, dass Defender XDR und die zugehörigen Telemetriequellen aktiv sind und aktuelle Vorfallsdaten enthalten. * Überprüfen Sie die Untersuchungsergebnisse in Security Copilot auf kontextbezogene Empfehlungen. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://agents.glueckkanja.com/de/agents/forensic-agent-core/permissions.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.