権限
概要
このページでは、以下の権限とアクセスモデルについて説明します: 攻撃マッピング エージェント。 エージェントは 読み取り専用アクセス を、文書化された Microsoft Graph API および Security Copilot Pluginsを通じて Microsoft Sentinel、Microsoft Defender、そして Security Copilot のデータに対して使用します。 これは、分析ルールの構成、ATT&CK マッピング、およびテレメトリの相関を、 ことなく 環境に対して分析するように設計されています。
仕組み
エージェントは、メタデータ、マッピング詳細、および関連するテレメトリを取得するために、テナントおよび Microsoft Sentinel ワークスペースへ安全に接続します。 MITRE ATT&CK の戦術、技術、サブ技術の割り当てを評価および検証し、マッピングが検出カバレッジを正確に表していることを確認します。
すべての操作は以下の原則に従います:
読み取り専用アクセス: エージェントは分析ルールを変更、作成、または削除しません。
最小権限: Sentinel および Defender のデータを読み取るために必要な最小限のロールと権限のみが使用されます。
透明性: すべてのデータアクセスは文書化された API エンドポイントを通じて行われ、Microsoft Entra で監査できます。
必要な Entra ID および Sentinel のロール
次のロールを、エージェントを実行する管理者アカウントまたはマネージド ID に割り当てます:
Microsoft Sentinel Reader
分析ルールの構成とアラートのメタデータへの読み取り専用アクセスを提供します。
Microsoft Sentinel Responder (省略可能)
拡張分析が有効な場合にインシデント関連データを追加します。
Security Reader
変更権限なしで Defender のセキュリティ インサイトとイベントを閲覧できるようにします。
Directory Reader
ルール相関のためにユーザーおよびグループのディレクトリ データへの読み取り専用アクセスを有効にします。
これらのロールは 最小権限の原則 に従っており、組織のセキュリティ ガバナンス ポリシーに基づいて調整できます。
データアクセスの透明性
次の表は、エージェントがアクセスできるデータとその目的を示しています:
Sentinel の分析ルールのメタデータ
読み取り専用
分析ルールの棚卸し、MITRE マッピングの検証、および不整合の検出のため。
セキュリティ アラートとテレメトリのサンプル
読み取り専用
マッピングされた技術が実際の検出動作と一致していることを確認するため。
MITRE ATT&CK ナレッジ ベース
読み取り専用
戦術と技術の ID を検証し、正規の整合性を確保するため。
ディレクトリとワークスペースのデータ
読み取り専用
分析ルールを所有者および構成コンテキストと関連付けるため。
データの取り扱い:
エージェントはテナント内のデータを変更、作成、または削除しません。
顧客データがテナント境界の外部にエクスポートされることはありません。
すべてのアクセスは、委任された権限またはアプリケーション権限を使用して Microsoft Graph および Security Copilot プラグイン経由で行われます。
アクセス アクティビティは、完全な追跡可能性のために Microsoft Entra の監査ログに記録されます。
エージェントの設定
エージェントは、検証の範囲と深さを定義する構成可能なパラメーターをサポートします:
Scope
analyticRules, telemetry, mappingValidation
どの Sentinel コンポーネントを分析に含めるかを決定します。
モード
quick, standard, deep
分析の深さと相関レベルを定義します。
• quick – 構文と構造についてルール マッピングを基本レビューします。
• standard – MITRE の知識と限定的なテレメトリを用いたバランスの取れたマッピング検証です。 (推奨)
• deep – テレメトリ サンプリングとルールと検出の相関を含む完全な検証です。
エージェントを実行する前に、必要なすべてのロールとワークスペース権限が割り当てられていることを確認してください。
セキュリティとコンプライアンスに関する考慮事項
Microsoft Sentinel および Microsoft Graph とのすべての通信は HTTPS で暗号化され、 Microsoft identity services.
によって保護されます。エージェントは Zero Trust および 最小権限 の原則に従います。
に従います。アクセスはいつでも Microsoft Entra のロール割り当て または アプリケーションの同意管理.
を通じて確認または取り消すことができます。分析中の完全な運用安全性を確保するため、環境内では構成変更は行われません。
次の手順
エージェントを実行する管理者またはマネージド ID に、必要なロールが割り当てられていることを確認してください。
Microsoft Sentinel および Defender の API アクセス権限が有効であることを確認してください。
展開前に、組織の最小権限およびロール割り当てポリシーを確認してください。
最終更新
役に立ちましたか?