Berechtigungen
Übersicht
Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den Insider Risk Profiler. Der Agent verwendet schreibgeschützten Zugriff auf Daten aus Microsoft Purview Insider Risk Management, Microsoft Defender und Microsoft Entra ID über dokumentierte Microsoft Graph API und Security Copilot Plugins. Er ist darauf ausgelegt, Insider-Risikoalarme, Benutzer-Risikostufen, Geräte-Compliance und DLP-Ereignisse zu analysieren ohne Änderungen an Ihrer Umgebung vorzunehmen.
So funktioniert es
Der Agent verbindet sich sicher mit Microsoft Purview und Defender, um Insider Risk Management (IRM)-Warnungensowie Identitätsrisikosignale und Verhaltens-Telemetrie über mehrere Aktivitätsquellen wie E-Mail, Cloud-Anwendungen und Dateivorgänge hinweg zu erfassen. Er reichert Warnungen mit Kontextdaten aus Defender und Entra ID an, berechnet einen zusammengesetzten Risikoscore und erstellt eine priorisierte Warteschlange mit Empfehlungen für Untersuchung und Behebung.
Alle Vorgänge folgen diesen Kernprinzipien:
Schreibgeschützter Zugriff: Der Agent ändert oder löscht keine Daten.
Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen für Korrelation und Anreicherung angefordert.
Transparenz: Der gesamte Zugriff erfolgt über dokumentierte Microsoft Graph-Endpunkte und kann über Microsoft Entra-Aktivitätsprotokolle vollständig geprüft werden.
Erforderliche Entra ID- und Purview-Rollen
Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten ausführt, die folgenden Rollen und Berechtigungen zu:
Insider Risk Management Analyst
Bietet direkten schreibgeschützten Zugriff auf Insider Risk Management (IRM)-Warnungen innerhalb von Microsoft Purview.
Security Reader
Gewährt Einblick in Sicherheitswarnungen, Vorfälle und Verhaltenssignale über Defender und Sentinel hinweg.
Directory Reader
Ermöglicht schreibgeschützten Zugriff auf Metadaten von Entra ID-Benutzern und -Gruppen für die Warnkorrelation und Berichterstattung.
Intune Reader (optional)
Bietet Geräte-Compliance-Kontext bei der Analyse von Warnungen, die mit verwalteten Endpunkten verknüpft sind.
Diese Rollen folgen dem Prinzip der geringsten Berechtigung und können bei Bedarf auf bestimmte Datensätze oder Gruppen beschränkt werden.
Transparenz beim Datenzugriff
Die folgende Tabelle beschreibt die vom Agenten verwendeten Datenquellen und deren Zwecke:
Insider Risk Management-Warnungen
Schreibgeschützt
Zum Abrufen von Warnmetadaten und Erstellen priorisierter Risikowarteschlangen.
Sicherheitswarnungen und Vorfälle
Schreibgeschützt
Zum Abgleich von Defender-Daten für eine kontextbezogene Anreicherung.
Risikobehaftete Benutzer und Identitätsereignisse
Schreibgeschützt
Zur Bewertung von Identitätsrisikoindikatoren auf Benutzerebene und der Wahrscheinlichkeit einer Kompromittierung.
Advanced Hunting-Telemetrie
Schreibgeschützt
Zur Analyse von Datei-, E-Mail-, Cloud- und Authentifizierungsereignissen für die Verhaltensbewertung.
DLP-Richtlinienverstöße
Schreibgeschützt
Zum Erkennen von Anomalien bei der Handhabung sensibler Daten und von Exfiltrationsmustern.
Gerätezustand und Compliance
Schreibgeschützt (optional)
Zur Anreicherung von Benutzer-Risikoprofilen mit Informationen zum Gerätestatus.
Verzeichnis-Benutzer- und Gruppendaten
Schreibgeschützt
Zur Normalisierung von Benutzeridentitäten, zur Korrelation von Zuweisungen und zur Verbesserung der Klarheit von Berichten.
Datenverarbeitung:
Der Agent verändert, erstellt oder löscht niemals Datensätze.
Die gesamte Verarbeitung und Anreicherung erfolgt innerhalb der Mandantengrenze Ihres Microsoft 365-Mandanten.
Der Datenzugriff erfolgt über Microsoft Graph und Security Copilot Plugins mit delegierten oder genehmigten Anwendungsberechtigungen.
Jeder Zugriffsvorgang wird protokolliert und ist über Microsoft Entra-Auditprotokolle für Compliance-Zwecke nachvollziehbar.
Agenteneinstellungen
Der Agent unterstützt Konfigurationsparameter, die die Analysentiefe, den Verarbeitungsumfang und die Ausgabestruktur steuern:
Scope
Warnungen, Benutzer, Geräte, dlp
Definiert, welche Insider-Risk-Komponenten in die Analyse einbezogen werden.
Modus
schnell, standard, tief
Bestimmt die Tiefe der Anreicherung und Korrelation.
• schnell – Grundlegende Triage von Warnungen mithilfe wichtiger Identitäts- und Risikofaktoren.
• standard – Ausgewogene Anreicherung und Bewertung über Identitäts-, Aktivitäts- und DLP-Daten hinweg. (empfohlen)
• tief – Vollständige Multi-Source-Anreicherung einschließlich Gerätezustand und Anomalieanalyse.
Zeitfenster
7, 14, 30 Tage
Definiert, wie weit zurück Warnungen und Risikoereignisse analysiert werden.
Stellen Sie sicher, dass die zugewiesene Identität oder das Administratorkonto alle erforderlichen Rollen und Berechtigungen für die Datenquellen besitzt, bevor Sie eine Analyse starten.
Sicherheits- und Compliance-Überlegungen
Die gesamte Kommunikation zwischen dem Agenten, Microsoft Graph und den Defender-APIs ist gesichert mit HTTPS und authentifiziert mit Microsoft-Identitätsdiensten.
Der Agent hält sich an Microsofts Zero-Trust und Prinzip der minimalen Rechtevergabe Designprinzipien.
Berechtigungen können jederzeit überprüft, eingeschränkt oder widerrufen werden über Microsoft Entra-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.
Während der Analyse werden keine Daten geschrieben oder geändert, was vollständige Betriebssicherheit und Compliance-Integrität gewährleistet.
Nächste Schritte
Bestätigen Sie, dass die erforderlichen Rollen (Insider Risk Management Analyst, Security Reader und Directory Reader) dem Konto oder der Identität zugewiesen sind, die den Agenten ausführt.
Überprüfen Sie den Zugriff auf Microsoft Purview- und Defender-Daten über Microsoft Graph-Berechtigungen.
Prüfen Sie die Richtlinien Ihrer Organisation zur Datenverwaltung und Rollenzuweisung, bevor Sie den Agenten in der Produktion aktivieren.
Zuletzt aktualisiert
War das hilfreich?