circle-info
この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
search
Go to glueckkanja Website

権限

hashtag
概要

このページは、このエージェントの権限とアクセスモデルについて説明します。 エージェントは、 読み取り専用アクセス を通じてセキュリティインシデント、アラート、デバイス、およびアイデンティティリスクデータへの Security Copilot プラグインを使用します。 これは、インシデントを分析し、コンテキストを相関させ、外部インテリジェンスソースで結果を補強することにより、Microsoft Defender XDR におけるフォレンジックおよび脅威調査を支援するよう設計されています。

hashtag
仕組み

エージェントは Security Copilot プラグインを介して Microsoft Defender XDR 環境に安全に接続し、インシデントの詳細、アラート、Advanced Hunting の結果、および関連するエンティティデータを収集します。 その後、これらの発見を外部の脅威インテリジェンスで補強して統合された調査ビューを生成します。

すべてのやり取りは次の原則に従います:

  • 読み取り専用アクセス: エージェントはインシデントやアラートを変更、解決、または削除しません。

  • 最小特権: インシデントおよび脅威データを読み取るために必要な役割のみが要求されます。

  • 透明性: すべてのデータアクセスは Microsoft Entra で監査可能であり、標準的なセキュリティおよびコンプライアンスの管理に従います。

hashtag
必要な Entra ID ロール

エージェントをインストールおよび実行する管理者アカウントに以下のロールを割り当ててください:

ロール
説明

セキュリティリーダー

Defender XDR のインシデント、アラート、調査データへの読み取り専用アクセスを提供します。

グローバルリーダー

相関およびクロスドメインのコンテキストのために Microsoft 365 サービス全体への読み取り専用アクセスを付与します。

hashtag
高度な分析のための任意ロール

ロール
説明

セキュリティ管理者

Defender XDR 内での高度なハンティングクエリの実行およびより深いデータ相関を可能にします。

circle-info

割り当てることで、 セキュリティ管理者 高度なハンティング機能が有効になりますが、標準的な分析には必須ではありません。

hashtag
データアクセスの透明性

以下の表は、エージェントがアクセスできるデータとその目的を示しています。

データ型
アクセスレベル
目的

セキュリティインシデントとアラート

読み取り専用

アラートを調査・相関し、根本原因を特定し、影響を評価するため。

Advanced Hunting データ

読み取り専用

エンティティおよびテレメトリ全体でのパターンおよび行動分析を実行するため。

デバイスおよびエンドポイントデータ

読み取り専用

アラートをデバイス、プロセス、およびネットワークアクティビティにリンクするため。

アイデンティティリスクデータ

読み取り専用

ユーザーの行動を分析し、インシデントを潜在的なアイデンティティ侵害と相関させるため。

外部脅威インテリジェンス指標

読み取り専用

アラートやエンティティを文脈的なリスク情報で補強するため。

データの取り扱い:

  • エージェントは 顧客データをテナント境界の外に 変更またはエクスポートしません。

  • すべてのアクセスは、 Security Copilot プラグイン 委任されたまたはアプリケーションレベルの権限を使用して制限されています。

  • アクセス活動は以下に記録されます: Microsoft Entra 監査ログ コンプライアンスと追跡可能性のため。

hashtag
エージェントの使用方法

エージェントを実行する際は、インシデントを分析するか調査の要約を生成するために必要な入力を提供してください。

入力タイプ
説明

必須

インシデント ID

「インシデント 12345 を分析する」

任意

コンテキストのための追加パラメーター

「インシデント ID 67890 のフォレンジックレポートを生成する」

任意

詳細分析または要約モード

「インシデント 45678 を詳細に調査する」

インシデント ID は、 Microsoft 365 Defender ポータル の下で見つけることができます: インシデントとアラート → インシデント。

hashtag
外部脅威インテリジェンスサービス

エージェントは以下の外部サービスを使用して指標を自動的に補強します — 構成や API キーは不要です:

サービス
目的

Shodan

ポートスキャン、サービス検出、および脆弱性の発見。

SSL/TLS 分析

証明書のメタデータ検査および検証。

WHOIS サービス

ドメイン登録および所有者の照会。

CIRCL

マルウェアハッシュの照会およびファイルのレピュテーションチェック。

IP/ドメインレピュテーションサービス

外部指標のスコアリングおよび文脈的リスク評価。

これらのサービスは、検出の文脈を強化し調査の精度を向上させるため、各分析の一部として自動的に照会されます。

hashtag
セキュリティおよびコンプライアンスの考慮事項

  • Security Copilot プラグインを通じたすべての通信は HTTPS を使用して暗号化され、Microsoft のアイデンティティサービスで認証されます。

  • エージェントは Microsoft の ゼロトラスト および 最小特権 の原則に従います。

  • アクセスはいつでも次を通じて見直しまたは取り消すことができます: Entra ID のロール割り当て または アプリケーション同意管理.

hashtag
次のステップ

  • 管理者アカウントに必要なロールが割り当てられていることを確認してください。

  • Defender XDR および関連するテレメトリソースがアクティブであり、最近のインシデントデータを含んでいることを確認してください。

  • 調査結果を Security Copilot 内でレビューし、文脈に基づく推奨事項を確認してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?