権限

概要

このページでは、このエージェントのアクセス権限とアクセスモデルについて説明します。 このエージェントは、 読み取り専用アクセス セキュリティ インシデント、アラート、デバイス、および ID リスク データへのアクセスを Security Copilot Plugins。 このエージェントは、インシデントを分析し、コンテキストを相関させ、外部のインテリジェンス ソースで結果を強化することで、Microsoft Defender XDR におけるフォレンジックおよび脅威の調査を支援するよう設計されています。

仕組み

このエージェントは、Security Copilot プラグインを通じて Microsoft Defender XDR 環境に安全に接続し、インシデントの詳細、アラート、高度なハンティング結果、および関連エンティティ データを収集します。 その後、これらの所見を外部の脅威インテリジェンスで強化し、統合された調査ビューを生成します。

すべての操作は以下の原則に従います:

• 読み取り専用アクセス: このエージェントは、インシデントやアラートを変更、解決、または削除しません。

• 最小権限: インシデントおよび脅威データを読み取るために必要な役割のみが求められます。

• 透明性: すべてのデータ アクセスは Microsoft Entra で監査可能であり、標準のセキュリティおよびコンプライアンス制御に従います。

必要な Entra ID ロール

エージェントをインストールして実行する管理者アカウントに、次のロールを割り当ててください:

拡張分析のためのオプションのロール

データアクセスの透明性

次の表は、エージェントがどのデータにアクセスできるか、およびその目的を示しています。

データの取り扱い:

• このエージェントは 、 テナントの境界外に顧客データを変更またはエクスポートしません。

• すべてのアクセスは Security Copilot Plugins 委任された権限またはアプリケーション レベルの権限を使用して行われます。

• アクセス アクティビティは Microsoft Entra の監査ログ に限定されます。これはコンプライアンスと追跡可能性のためです。

エージェントの使用

エージェントを実行する際は、インシデントを分析するか、調査の要約を生成するために必要な入力を指定してください。

インシデント ID は Microsoft 365 Defender ポータル の次の場所で見つかります: インシデントとアラート → インシデント。

外部脅威インテリジェンス サービス

エージェントは、次の外部サービスを使用してインジケーターを自動的に強化します。構成や API キーは不要です:

これらのサービスは、検出コンテキストを強化し、調査の精度を向上させるため、各分析の一部として自動的に照会されます。

セキュリティとコンプライアンスに関する考慮事項

• Security Copilot Plugins を介したすべての通信は HTTPS を使用して暗号化され、Microsoft の ID サービスを通じて認証されます。

• このエージェントは Microsoft の ゼロトラスト および 最小権限 の原則に従います。

• アクセスはいつでも Entra ID のロール割り当て または アプリケーションの同意管理.

次の手順

• 管理者アカウントに必要な役割が割り当てられていることを確認してください。

• Defender XDR および関連するテレメトリ ソースがアクティブであり、最新のインシデント データを含んでいることを確認してください。

• コンテキストに応じた推奨事項については、Security Copilot 内で調査結果を確認してください。