この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
Ctrlk
Go to glueckkanja Website

権限

概要

このページでは、次の権限およびアクセス モデルについて説明します 内部リスクプロファイラー。 このエージェントは、 読み取り専用アクセス を使用して、文書化された Microsoft Graph API および Security Copilot Pluginsを通じて Microsoft Purview Insider Risk Management、Microsoft Defender、および Microsoft Entra ID データにアクセスします。 これは、インサイダー リスク アラート、ユーザー リスク レベル、デバイス コンプライアンス、および DLP イベントを分析するように設計されており、 いかなる変更も加えることなく お客様の環境に対して動作します。

仕組み

このエージェントは Microsoft Purview および Defender に安全に接続し、 Insider Risk Management (IRM) アラート、ID リスク シグナル、およびメール、クラウド アプリケーション、ファイル操作など複数のアクティビティ ソースにわたる行動テレメトリを収集します。 Defender と Entra ID からのコンテキスト データでアラートを強化し、複合リスク スコアを算出し、調査および修復の推奨事項を含む優先順位付きキューを生成します。

すべての操作は、以下の中核原則に従います。

  • 読み取り専用アクセス: このエージェントは、いかなるデータも変更または削除しません。

  • 最小権限: 相関付けと強化に必要な最小限の権限のみが要求されます。

  • 透明性: すべてのアクセスは文書化された Microsoft Graph エンドポイントを通じて行われ、Microsoft Entra のアクティビティ ログを通じて完全に監査できます。

必要な Entra ID および Purview ロール

以下のロールおよび権限を、エージェントを実行する管理者アカウントまたはマネージド ID に割り当ててください。

ロール
説明

Insider Risk Management Analyst

Microsoft Purview 内の Insider Risk Management (IRM) アラートへの直接の読み取り専用アクセスを提供します。

Security Reader

Defender および Sentinel 全体のセキュリティ アラート、インシデント、および行動シグナルへの可視性を付与します。

Directory Reader

アラートの相関付けとレポート作成のために、Entra ID のユーザーおよびグループ メタデータへの読み取り専用アクセスを有効にします。

Intune Reader (任意)

マネージド エンドポイントに関連するアラートを分析する際に、デバイス コンプライアンスのコンテキストを提供します。

これらのロールは、 最小権限の原則 に従っており、必要に応じて特定のデータセットまたはグループにスコープ設定できます。

データアクセスの透明性

以下の表は、エージェントがアクセスするデータ ソースとその目的を示しています。

データの種類
アクセス レベル
目的

Insider Risk Management アラート

読み取り専用

アラート メタデータを取得し、優先順位付きリスク キューを生成するため。

セキュリティ アラートおよびインシデント

読み取り専用

コンテキスト強化のために Defender データを相互参照するため。

リスクのあるユーザーおよび ID イベント

読み取り専用

ユーザー レベルの ID リスク指標と侵害の可能性を評価するため。

Advanced Hunting テレメトリ

読み取り専用

行動スコアリングのために、ファイル、メール、クラウド、および認証イベントを分析するため。

DLP ポリシー違反

読み取り専用

機密データ処理の異常とデータ持ち出しパターンを検出するため。

デバイスの状態とコンプライアンス

読み取り専用 (任意)

デバイス状態情報でユーザー リスク プロファイルを強化するため。

ディレクトリのユーザーおよびグループ データ

読み取り専用

ユーザー ID を正規化し、割り当てを相関付け、レポートの明確性を向上させるため。

データの取り扱い:

  • このエージェントは、レコードを変更、作成、または削除することはありません。

  • すべての処理および強化は、お客様の Microsoft 365 Tenant 境界内で行われます。

  • データ アクセスは、委任された、または承認済みのアプリケーション権限を使用して、Microsoft Graph および Security Copilot Plugins 経由で実行されます。

  • すべてのアクセス イベントはログに記録され、コンプライアンスのために Microsoft Entra 監査ログを通じて追跡可能です。

エージェントの設定

このエージェントは、分析の深さ、処理範囲、および出力構造を制御する構成パラメーターをサポートしています。

設定
オプション
説明

Scope

alerts, users, devices, dlp

分析に含める Insider Risk コンポーネントを定義します。

モード

quick, standard, deep

強化と相関付けの深さを決定します。

quick – 主要な ID とリスク要因を使用したアラートの基本トリアージ。

standard – ID、アクティビティ、および DLP データ全体にわたるバランスの取れた強化とスコアリング。 (推奨)

deep – デバイス状態と異常分析を含む、完全なマルチソース強化。

時間範囲

7、14、30 日

アラートとリスク イベントをどこまでさかのぼって分析するかを定義します。

分析を開始する前に、割り当てられた ID または管理者アカウントに、必要なすべてのロールとデータ ソース権限があることを確認してください。

セキュリティとコンプライアンスに関する考慮事項

  • エージェント、Microsoft Graph、および Defender API 間のすべての通信は、 HTTPS を使用して保護され、 Microsoft identity services.

  • このエージェントは Microsoft の Zero Trust および 最小権限 設計原則で認証されます。

  • 権限は、いつでも Microsoft Entra ロール割り当て または アプリケーションの同意管理.

  • を通じて確認、制限、または取り消しできます。分析中にデータが書き込まれたり変更されたりすることはなく、完全な運用上の安全性とコンプライアンスの整合性を保証します。

次の手順

  1. 必要なロール(Insider Risk Management Analyst、Security Reader、および Directory Reader)が、エージェントを実行するアカウントまたは ID に割り当てられていることを確認してください。

  2. Microsoft Graph 権限を介して Microsoft Purview および Defender のデータ アクセスを確認してください。

  3. 本番環境でエージェントを有効にする前に、組織のデータ ガバナンスおよびロール割り当てポリシーを確認してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?