circle-info
この記事は人工知能によって自動翻訳されたものであり、誤りや不正確な表現が含まれている可能性があります。
search
Go to glueckkanja Website

権限

hashtag
概要

このページでは、次の権限とアクセスモデルについて説明します: 攻撃マッピング エージェント。 エージェントは、ドキュメント化された経由で 読み取り専用アクセス を使用して Microsoft Sentinel、Microsoft Defender、および Security Copilot のデータにアクセスします Microsoft Graph API および Security Copilot プラグイン。 解析ルールの構成、ATT&CK マッピング、およびテレメトリ相関を分析するように設計されています 環境に対して何ら変更を加えることなく

hashtag
仕組み

エージェントはテナントおよび Microsoft Sentinel ワークスペースに安全に接続し、解析ルールのメタデータ、マッピングの詳細、および関連するテレメトリを取得します。 MITRE ATT&CK の戦術、技術、およびサブ技術の割り当てを評価・検証し、マッピングが検出カバレッジを正確に表していることを確認します。

すべての対話は次の原則に従います:

  • 読み取り専用アクセス: エージェントは解析ルールを変更、作成、または削除しません。

  • 最小権限: Sentinel と Defender のデータを読み取るために必要な最小のロールと権限のみを使用します。

  • 透明性: すべてのデータアクセスはドキュメント化された API エンドポイントを通じて行われ、Microsoft Entra で監査可能です。

hashtag
必要な Entra ID と Sentinel のロール

エージェントを実行する管理者アカウントまたはマネージド ID に次のロールを割り当ててください:

ロール
説明

Microsoft Sentinel リーダー

解析ルールの構成とアラートのメタデータへの読み取り専用アクセスを提供します。

Microsoft Sentinel レスポンダー (オプション)

拡張分析が有効な場合、インシデントの関連データを追加します。

セキュリティ リーダー

変更権限なしで Defender のセキュリティインサイトとイベントを参照できるようにします。

ディレクトリ リーダー

ルール相関のためにユーザーおよびグループのディレクトリデータへの読み取り専用アクセスを可能にします。

これらのロールは次の原則に従います: 最小権限の原則 組織のセキュリティガバナンスポリシーに基づいて調整できます。

hashtag
データアクセスの透明性

以下の表は、エージェントがどのデータにアクセスでき、どのような目的で使用するかを示します:

データ種類
アクセスレベル
目的

Sentinel の解析ルールのメタデータ

読み取り専用

解析ルールをインベントリ化し、MITRE のマッピングを検証し、不整合を検出するため。

セキュリティアラートとテレメトリサンプル

読み取り専用

マッピングされた技術が実際の検出動作と一致していることを確認するため。

MITRE ATT&CK ナレッジベース

読み取り専用

戦術および技術の ID を検証し、正規化された整合性を確保するため。

ディレクトリおよびワークスペースデータ

読み取り専用

解析ルールを所有者および構成コンテキストと相関させるため。

データ処理:

  • エージェントはテナント内のデータを変更、作成、または削除しません。

  • 顧客データがテナント境界の外にエクスポートされることはありません。

  • すべてのアクセスは、委任権限またはアプリケーション権限を使用した Microsoft Graph および Security Copilot プラグイン経由で行われます。

  • アクセスアクティビティは完全な追跡のために Microsoft Entra の監査ログに記録されます。

hashtag
エージェント設定

エージェントは検証の範囲と深さを定義する構成可能なパラメーターをサポートします:

設定
オプション
説明

スコープ

analyticRules, telemetry, mappingValidation

どの Sentinel コンポーネントが分析に含まれるかを決定します。

モード

quick, standard, deep

分析の深さと相関レベルを定義します。

quick – ルールマッピングの構文と構造に対する基本的なレビュー。

standard – MITRE ナレッジと限定されたテレメトリを使用したバランスの取れたマッピング検証。 (推奨)

deep – テレメトリサンプリングとルールから検出への相関を行う完全な検証。

エージェントを実行する前に、必要なすべてのロールとワークスペース権限が割り当てられていることを確認してください。

hashtag
セキュリティおよびコンプライアンスに関する考慮事項

  • Microsoft Sentinel および Microsoft Graph とのすべての通信は次により暗号化されます: HTTPS および保護されています: Microsoft ID サービス.

  • エージェントは次に従います: ゼロトラスト および 最小権限 の原則。

  • アクセスはいつでも次を通じてレビューまたは取り消すことができます: Microsoft Entra のロール割り当て または アプリケーション同意管理.

  • 環境内で構成変更は行われないため、分析中の運用上の安全性が確保されます。

hashtag
次のステップ

  1. エージェントを実行する管理者またはマネージド ID に必要なロールが割り当てられていることを確認してください。

  2. Microsoft Sentinel および Defender API へのアクセス権限が有効であることを確認してください。

  3. 展開前に、組織の最小権限およびロール割り当てポリシーを確認してください。

前へ概要次へ変更履歴

最終更新

役に立ちましたか?