# Berechtigungen ### Übersicht Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den **Insider Risk Profiler**.\ Der Agent verwendet **schreibgeschützten Zugriff** auf Daten aus Microsoft Purview Insider Risk Management, Microsoft Defender und Microsoft Entra ID über dokumentierte **Microsoft Graph API** und **Security Copilot Plugins**.\ Er ist darauf ausgelegt, Insider-Risikoalarme, Benutzer-Risikostufen, Geräte-Compliance und DLP-Ereignisse zu analysieren **ohne Änderungen** an Ihrer Umgebung vorzunehmen. *** ### So funktioniert es Der Agent verbindet sich sicher mit Microsoft Purview und Defender, um **Insider Risk Management (IRM)-Warnungen**sowie Identitätsrisikosignale und Verhaltens-Telemetrie über mehrere Aktivitätsquellen wie E-Mail, Cloud-Anwendungen und Dateivorgänge hinweg zu erfassen.\ Er reichert Warnungen mit Kontextdaten aus Defender und Entra ID an, berechnet einen zusammengesetzten Risikoscore und erstellt eine priorisierte Warteschlange mit Empfehlungen für Untersuchung und Behebung. Alle Vorgänge folgen diesen Kernprinzipien: * **Schreibgeschützter Zugriff:** Der Agent ändert oder löscht keine Daten. * **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Berechtigungen für Korrelation und Anreicherung angefordert. * **Transparenz:** Der gesamte Zugriff erfolgt über dokumentierte Microsoft Graph-Endpunkte und kann über Microsoft Entra-Aktivitätsprotokolle vollständig geprüft werden. *** ### Erforderliche Entra ID- und Purview-Rollen Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten ausführt, die folgenden Rollen und Berechtigungen zu: | Rolle | Beschreibung | | ----------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------- | | **Insider Risk Management Analyst** | Bietet direkten schreibgeschützten Zugriff auf Insider Risk Management (IRM)-Warnungen innerhalb von Microsoft Purview. | | **Security Reader** | Gewährt Einblick in Sicherheitswarnungen, Vorfälle und Verhaltenssignale über Defender und Sentinel hinweg. | | **Directory Reader** | Ermöglicht schreibgeschützten Zugriff auf Metadaten von Entra ID-Benutzern und -Gruppen für die Warnkorrelation und Berichterstattung. | | **Intune Reader** *(optional)* | Bietet Geräte-Compliance-Kontext bei der Analyse von Warnungen, die mit verwalteten Endpunkten verknüpft sind. | Diese Rollen folgen dem **Prinzip der geringsten Berechtigung** und können bei Bedarf auf bestimmte Datensätze oder Gruppen beschränkt werden. *** ### Transparenz beim Datenzugriff Die folgende Tabelle beschreibt die vom Agenten verwendeten Datenquellen und deren Zwecke: | Datentyp | Zugriffslevel | Zweck | | ------------------------------------------------- | ----------------------------- | ---------------------------------------------------------------------------------------------------------------------------- | | Insider Risk Management-Warnungen | Schreibgeschützt | Zum Abrufen von Warnmetadaten und Erstellen priorisierter Risikowarteschlangen. | | Sicherheitswarnungen und Vorfälle | Schreibgeschützt | Zum Abgleich von Defender-Daten für eine kontextbezogene Anreicherung. | | Risikobehaftete Benutzer und Identitätsereignisse | Schreibgeschützt | Zur Bewertung von Identitätsrisikoindikatoren auf Benutzerebene und der Wahrscheinlichkeit einer Kompromittierung. | | Advanced Hunting-Telemetrie | Schreibgeschützt | Zur Analyse von Datei-, E-Mail-, Cloud- und Authentifizierungsereignissen für die Verhaltensbewertung. | | DLP-Richtlinienverstöße | Schreibgeschützt | Zum Erkennen von Anomalien bei der Handhabung sensibler Daten und von Exfiltrationsmustern. | | Gerätezustand und Compliance | Schreibgeschützt *(optional)* | Zur Anreicherung von Benutzer-Risikoprofilen mit Informationen zum Gerätestatus. | | Verzeichnis-Benutzer- und Gruppendaten | Schreibgeschützt | Zur Normalisierung von Benutzeridentitäten, zur Korrelation von Zuweisungen und zur Verbesserung der Klarheit von Berichten. | **Datenverarbeitung:** * Der Agent verändert, erstellt oder löscht niemals Datensätze. * Die gesamte Verarbeitung und Anreicherung erfolgt innerhalb der Mandantengrenze Ihres Microsoft 365-Mandanten. * Der Datenzugriff erfolgt über Microsoft Graph und Security Copilot Plugins mit delegierten oder genehmigten Anwendungsberechtigungen. * Jeder Zugriffsvorgang wird protokolliert und ist über Microsoft Entra-Auditprotokolle für Compliance-Zwecke nachvollziehbar. *** ### Agenteneinstellungen Der Agent unterstützt Konfigurationsparameter, die die Analysentiefe, den Verarbeitungsumfang und die Ausgabestruktur steuern: | Einstellung | Optionen | Beschreibung | | --------------- | ------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------- | | **Scope** | `Warnungen`, `Benutzer`, `Geräte`, `dlp` | Definiert, welche Insider-Risk-Komponenten in die Analyse einbezogen werden. | | **Modus** | `schnell`, `standard`, `tief` | Bestimmt die Tiefe der Anreicherung und Korrelation. | | | • **schnell** – Grundlegende Triage von Warnungen mithilfe wichtiger Identitäts- und Risikofaktoren. | | | | • **standard** – Ausgewogene Anreicherung und Bewertung über Identitäts-, Aktivitäts- und DLP-Daten hinweg. *(empfohlen)* | | | | • **tief** – Vollständige Multi-Source-Anreicherung einschließlich Gerätezustand und Anomalieanalyse. | | | **Zeitfenster** | 7, 14, 30 Tage | Definiert, wie weit zurück Warnungen und Risikoereignisse analysiert werden. | Stellen Sie sicher, dass die zugewiesene Identität oder das Administratorkonto alle erforderlichen Rollen und Berechtigungen für die Datenquellen besitzt, bevor Sie eine Analyse starten. *** ### Sicherheits- und Compliance-Überlegungen * Die gesamte Kommunikation zwischen dem Agenten, Microsoft Graph und den Defender-APIs ist gesichert mit **HTTPS** und authentifiziert mit **Microsoft-Identitätsdiensten**. * Der Agent hält sich an Microsofts **Zero-Trust** und **Prinzip der minimalen Rechtevergabe** Designprinzipien. * Berechtigungen können jederzeit überprüft, eingeschränkt oder widerrufen werden über **Microsoft Entra-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**. * Während der Analyse werden keine Daten geschrieben oder geändert, was vollständige Betriebssicherheit und Compliance-Integrität gewährleistet. *** ### Nächste Schritte 1. Bestätigen Sie, dass die erforderlichen Rollen (Insider Risk Management Analyst, Security Reader und Directory Reader) dem Konto oder der Identität zugewiesen sind, die den Agenten ausführt. 2. Überprüfen Sie den Zugriff auf Microsoft Purview- und Defender-Daten über Microsoft Graph-Berechtigungen. 3. Prüfen Sie die Richtlinien Ihrer Organisation zur Datenverwaltung und Rollenzuweisung, bevor Sie den Agenten in der Produktion aktivieren. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/de/agents/insider-risk-profiler/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.