この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
Ctrlk
Go to glueckkanja Website

権限

概要

このページでは、次の権限およびアクセス モデルについて説明します クラウド アプリ アクティビティ プロファイラー。 このエージェントは、 読み取り専用アクセス 文書化された手順を通じて Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、および Microsoft Entra ID のデータへ Microsoft Graph API および Security Copilot Plugins。 これは、SaaS ドメインのアクティビティ、アラートの相関関係、および脅威インテリジェンスのインジケーターを分析するように設計されています を変更することなく 環境内のいかなる構成やポリシーも。

仕組み

エージェントは Microsoft 365 テナントおよび Defender for Cloud Apps のテレメトリに安全に接続し、SaaS アクティビティ データを収集して相関付けます。 新規または大量のドメインを検出し、アラートおよび脅威インテリジェンスのコンテキストで結果を補強し、たとえば次のようなガバナンス推奨事項を含むリスク評価を生成します ALLOW, MONITOR、または BLOCK.

すべての操作は、以下の原則に基づいています:

  • 読み取り専用アクセス: エージェントはいかなるデータも変更または削除しません。

  • 最小権限: ドメイン アクティビティ分析に必要な最小限の権限のみが要求されます。

  • 透明性: すべてのデータ取得は、文書化された Graph API エンドポイントまたは Security Copilot プラグインを通じて行われ、Microsoft Entra のログで完全に監査可能です。

必要な Entra ID および Defender のロール

エージェントを操作する管理者アカウントまたはマネージド ID に、以下のロールと権限を割り当ててください:

ロール
説明

Security Reader

Microsoft Defender for Cloud Apps 全体のセキュリティ インサイトとアラートへの読み取り専用アクセスを提供します。

Cloud App Security Administrator (任意)

必要に応じて、Cloud App の構成と検出データへの追加の可視性を付与します。

Directory Reader

アクティビティの正規化と相関のために、ユーザーおよびグループ データへのアクセスを有効にします。

これらのロールは 最小特権の原則 テナント全体のアクセスが不要な場合は、特定のリソースにスコープ設定できます。

データアクセスの透明性

以下の表は、エージェントがどのデータ ソースにアクセスし、何の目的で使用するかを示しています:

データの種類
アクセス レベル
目的

Cloud App アクティビティ ログ (CloudAppEvents)

読み取り専用

新規および大量のドメインを特定し、潜在的な持ち出しや大量アップロードの急増を検出するため。

アラート データ (AlertInfo および AlertEvidence)

読み取り専用

各ドメインに関連付けられた重大度の高いアラートおよび行動戦術を相関付けるため。

脅威インテリジェンス インジケーター (ThreatIntelligence.DTI)

読み取り専用

評判データおよび既知の脅威との関連付けでドメインを補強するため。

ディレクトリおよびユーザー データ (オプション)

読み取り専用

ユーザー アクティビティを正規化し、ユーザーベースのリスク メトリックを計算するため。

データの取り扱い:

  • エージェントは Defender、Entra、または Graph のデータを変更・削除しません。

  • すべての処理はテナント境界内で行われ、データの外部送信はありません。

  • すべてのデータ アクセスは、完全な可視性とコンプライアンスのために Microsoft Entra の監査ログに記録されます。

  • エージェントは、管理者によって付与された委任済み権限または承認済みアプリケーション権限の下でのみ動作します。

エージェントの設定

エージェントは、検出の深さ、分析範囲、および出力形式を制御するための構成パラメーターをサポートしています:

設定
オプション
説明

Scope

domains, alerts, threatIntel

分析に含めるデータ ソースを定義します。

モード

quick, standard, deep

分析の深さと補強レベルを指定します。

quick – 新たに観測されたドメインと基本的なアクティビティ メトリックを特定します。

standard – コンテキスト スコアリングのために、アラートと脅威インテリジェンス データを相関付けます。 (推奨)

deep – 詳細なプレイブック生成とドメイン ガバナンスの推奨事項を含む、完全な補強とスコアリングを行います。

Lookback Window

7、14、30 日

アクティビティ データをどこまで遡って評価するかを設定します。

分析を開始する前に、エージェントを実行する ID に必要なすべてのロールが割り当てられていることを確認してください。

セキュリティとコンプライアンスに関する考慮事項

  • Microsoft Graph および Defender API とのすべての通信は、 HTTPS で暗号化され、 Microsoft identity services.

  • を遵守しています Zero Trust および 最小権限 設計原則で認証されます。

  • 権限は、 Microsoft Entra のロール管理または同意の構成を通じて、いつでも確認または取り消すことができます。

  • エージェントは書き込みや構成の操作を一切行わず、運用上の安全性とコンプライアンスの整合性を確保します。

次の手順

  1. サービス アカウントまたはマネージド ID に必要なロールと API 権限が付与されていることを確認してください。

  2. 展開前に、組織のガバナンスおよびロール割り当てポリシーを確認してください。

  3. 希望する分析モード(quick, standard、または deep)を、環境の規模と機密性に基づいて構成します。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?