circle-info
この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
search
Go to glueckkanja Website

権限

hashtag
概要

このページでは、次の権限およびアクセスモデルについて説明します: Cloud App Activity Profiler。 エージェントは 読み取り専用アクセス を使用して、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、および Microsoft Entra ID のデータに、文書化された経路を通じてアクセスします。 Microsoft Graph API および Security Copilot プラグイン。 SaaS ドメインのアクティビティ、アラートの相関、および脅威インテリジェンス指標を分析するように設計されており、 変更せずに 環境内のいかなる構成やポリシーも変更しません。

hashtag
仕組み

エージェントはお使いの Microsoft 365 テナントと Defender for Cloud Apps のテレメトリに安全に接続して、SaaS アクティビティデータを収集および相関します。 新規または大量トラフィックのドメインを検出し、アラートや脅威インテリジェンスのコンテキストで所見を補強し、次のようなガバナンス推奨を含むリスク評価を生成します: 許可 (ALLOW), 監視 (MONITOR)、または ブロック (BLOCK).

すべての操作は以下の原則に基づいています:

  • 読み取り専用アクセス: エージェントはデータを変更したり削除したりしません。

  • 最小権限: ドメインアクティビティ分析に必要な最小限の権限のみが要求されます。

  • 透明性: すべてのデータ取得は文書化された Graph API エンドポイントまたは Security Copilot プラグインを通じて行われ、Microsoft Entra のログで完全に監査可能です。

hashtag
必要な Entra ID および Defender のロール

エージェントを操作する管理者アカウントまたはマネージド アイデンティティに、次のロールと権限を割り当てます:

ロール
説明

セキュリティ リーダー

Microsoft Defender for Cloud Apps 全体のセキュリティ インサイトとアラートへの読み取り専用アクセスを提供します。

Cloud App セキュリティ管理者 (任意)

必要に応じて、Cloud App の構成や検出データへの追加の可視性を付与します。

ディレクトリ リーダー

アクティビティの正規化と相関のためにユーザーおよびグループデータへのアクセスを可能にします。

これらのロールは 最小権限の原則 に従い、テナント全体のアクセスが不要な場合は特定のリソースにスコープできます。

hashtag
データアクセスの透明性

以下の表は、エージェントがどのデータソースにアクセスし、どの目的で使用するかを概説しています:

データ種別
アクセスレベル
目的

クラウド アプリのアクティビティログ(CloudAppEvents)

読み取り専用

新規および大量トラフィックのドメインを識別し、潜在的なデータ流出やアップロードの急増を検出するため。

アラートデータ(AlertInfo および AlertEvidence)

読み取り専用

各ドメインに関連する高重大度アラートおよび行動戦術を相関させるため。

脅威インテリジェンス指標(ThreatIntelligence.DTI)

読み取り専用

ドメインに評判データや既知の脅威関連を付加して補強するため。

ディレクトリおよびユーザーデータ(任意)

読み取り専用

ユーザーのアクティビティを正規化し、ユーザーベースのリスク指標を算出するため。

データ取り扱い:

  • エージェントは Defender、Entra、または Graph のいかなるデータも変更または削除しません。

  • すべての処理はお客様のテナント境界内で行われ、データのエクスポートは行われません。

  • すべてのデータアクセスは Microsoft Entra の監査ログに記録され、完全な可視性とコンプライアンスを確保します。

  • エージェントは管理者によって付与された委任されたまたは承認されたアプリケーション権限の下でのみ動作します。

hashtag
エージェント設定

エージェントは、検出の深さ、分析範囲、および出力形式を制御する構成パラメーターをサポートします:

設定
オプション
説明

スコープ

ドメイン, アラート, 脅威インテリ

どのデータソースが分析に含まれるかを定義します。

モード

クイック, 標準, 詳細

分析の深さと補強レベルを指定します。

クイック – 新たに観測されたドメインと基本的なアクティビティ指標を特定します。

標準 – 文脈スコアリングのためにアラートと脅威インテリジェンスデータを相関します。 (推奨)

詳細 – 完全な補強とスコアリング、詳細なプレイブック生成およびドメインガバナンスの推奨を行います。

参照期間

7、14、30 日

どの程度遡ってアクティビティデータを評価するかを設定します。

分析を開始する前に、エージェントを実行するアイデンティティに必要なすべてのロールが割り当てられていることを確認してください。

hashtag
セキュリティおよびコンプライアンスに関する考慮事項

  • Microsoft Graph および Defender API とのすべての通信は、 HTTPS を使用して暗号化され、 Microsoft の ID サービス.

  • によって保護されています。 エージェントは および ゼロトラスト および最小権限の設計原則に準拠しています。

  • 権限はいつでも Microsoft Entra のロール管理や同意設定を通じてレビューまたは取り消すことができます。

  • エージェントは書き込みや構成操作を行わないため、運用上の安全性とコンプライアンスの整合性が保たれます。

hashtag
次のステップ

  1. サービスアカウントまたはマネージド アイデンティティに必要なロールと API 権限が付与されていることを確認してください。

  2. 展開前に、組織のガバナンスおよびロール割り当てポリシーを確認してください。

  3. 環境の規模と機密性に基づいて、望ましい分析モード(クイック, 標準、または 詳細)を構成してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?