Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff zu Daten aus Privileged Identity Management (PIM), Überwachungsprotokollen und Informationen zur Identitätsaktivität über Security Copilot Plugins. Es ist darauf ausgelegt, PIM-Aktivierungen, privilegiertes Zugriffsverhalten und Compliance-Metriken zu analysieren, ohne Konfigurationsänderungen vorzunehmen.

So funktioniert es

Der Agent stellt über Security Copilot Plugins eine sichere Verbindung zu Ihrer Microsoft Entra-Umgebung her, um PIM-Aktivierungsdaten, Überwachungsprotokolle und Anmeldeinformationen abzurufen. Er bewertet Nutzungsmuster von Rollen, die Einhaltung von Aktivierungsrichtlinien und die Erkennung von Anomalien bei privilegierten Aktivitäten. Optional kann der Agent Azure Workbooks für die kontinuierliche PIM-Überwachung und Visualisierung generieren.

Alle Interaktionen folgen diesen Grundsätzen:

Schreibgeschützter Zugriff: Der Agent ändert oder weist keine Rollen zu, ändert keine PIM-Einstellungen und manipuliert keine Überwachungsdaten.
Prinzip der minimalen Rechtevergabe: Es werden nur die Berechtigungen verwendet, die zum Lesen von PIM- und Überwachungsdaten erforderlich sind.
Transparenz: Der gesamte Datenzugriff ist in Microsoft Entra überprüfbar und folgt den Microsoft-Compliance-Standards.

Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle

Beschreibung

Privileged Role Administrator

Bietet Einblick in PIM-Rollenzuweisungen und Aktivierungsverlauf.

Security Reader

Gewährt Zugriff auf Sicherheitsinformationen und Identitätsrisikodaten.

Berichtsleser

Ermöglicht Zugriff auf Nutzungs- und Überwachungsberichte.

Global Reader

Ermöglicht schreibgeschützten Zugriff im gesamten Entra ID-Mandanten für eine umfassende Analyse.

Diese Rollen stellen die empfohlene Konfiguration mit minimalen Rechten dar. Passen Sie sie anhand der Sicherheits- und Compliance-Richtlinien Ihrer Organisation an.

Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp

Zugriffslevel

Zweck

PIM-Rollenaktivierungen und -zuweisungen

Schreibgeschützt

Zur Bewertung der Aktivierungshäufigkeit, der Rollennutzung und der Einhaltung des Prinzips der minimalen Rechte.

Auditprotokolle

Schreibgeschützt

Zum Nachverfolgen von Aktivierungsereignissen, MFA-Überprüfung und Genehmigungs-Workflows.

Anmelde- und Identitätsrisikoprotokolle

Schreibgeschützt

Zur Identifizierung anomalen privilegierten Zugriffsverhaltens.

Rolldefinitionen und Richtlinien

Schreibgeschützt

Zur Bewertung der Konfigurationsausrichtung mit internen Governance-Standards.

Datenverarbeitung:

Der Agent nicht ändert, löscht oder Daten außerhalb der Mandantengrenze exportiert.
Der gesamte Zugriff erfolgt über Security Copilot Plugins unter Verwendung delegierter Berechtigungen oder Berechtigungen auf Anwendungsebene.
Zugriffsereignisse werden aufgezeichnet in Microsoft Entra-Auditprotokollen für Sichtbarkeit und Nachverfolgbarkeit.

Agenteneinstellungen

Beim Ausführen des Agents können Sie optionale Einstellungen konfigurieren, um Analyse- und Berichtsausgaben zu verfeinern.

Einstellung

Beispiel

Beschreibung

TimeRange

30 oder 2025-01-01/2025-01-31

Definiert den Zeitraum für die Analyse von PIM-Aktivierungsereignissen.

GenerateWorkbook

true

Generiert eine Azure Workbook-Datei für die kontinuierliche PIM-Überwachung.

OutputFormat

summary oder detailed

Legt den Detaillierungsgrad des Berichts und die enthaltenen Metriken fest.

Beispielabfragen

„Analysiere PIM-Aktivierungen der letzten 30 Tage“
„Zeige mir den Zugriff des Global Administrators dieser Woche“
„Generiere einen PIM-Compliance-Bericht für das letzte Quartal“
„Erkenne Anomalien im privilegierten Zugriff mit Azure Workbook“

Azure Workbook-Generierung

Wenn GenerateWorkbook: true angegeben ist, erstellt der Agent eine Azure Workbook-Konfigurationsdatei die für die fortlaufende PIM-Überwachung bereitgestellt werden kann.

Das Workbook enthält Dashboards für:

PIM-Aktivierungstrends in Echtzeit
Fehlgeschlagene Aktivierungsversuche
Metriken zur Rollennutzung und -häufigkeit
Nachverfolgung der Einhaltung von Aktivierungsgründen
Anomaliealarme und Risikovisualisierung

Bereitstellen Sie das Workbook im Azure-Portal unter: Überwachen → Workbooks → Importieren → Konfigurationsdatei hochladen

Datenanforderungen

Um genaue und aussagekräftige Ergebnisse sicherzustellen, überprüfen Sie Folgendes:

PIM wird aktiv genutzt wobei Rollenaktivierungen regelmäßig stattfinden.
Aktivierungsgründe sind in der PIM-Richtlinie für die Compliance-Analyse erforderlich.
mindestens 7–30 Tage Aktivierungsdaten verfügbar sind.
MFA wird erzwungen für PIM-Aktivierungen.
Protokollierung von Überwachungsdaten ist in Microsoft Entra aktiviert.
Entra ID-Überwachungsprotokolle werden in einer Microsoft Sentinel-Instanz gespeichert
Genannt Microsoft Sentinel Instanz muss integriert sein mit Microsoft Defender XDR (früher Microsoft Security Center) für einheitliche Sicherheitsabläufe und erweiterte Analysen.

Sicherheits- und Compliance-Überlegungen

Die gesamte Kommunikation über Security Copilot Plugins wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert.
Der Agent hält sich an Microsofts Zero Trust und Prinzip der minimalen Rechtevergabe .
Der Zugriff kann jederzeit überprüft oder widerrufen werden über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.

Nächste Schritte

Stellen Sie sicher, dass dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.
Führen Sie den Agenten aus, um PIM-Aktivitäts- und Compliance-Status zu analysieren.
Bereitstellen Sie das optionale Azure Workbook für die kontinuierliche Überwachung privilegierten Zugriffs.

VorherigeÜbersicht NächsteÄnderungsprotokoll

Zuletzt aktualisiert vor 3 Monaten

War das hilfreich?