Bei der Incident Response Automation (SOAR) kommt es auf ein heikles Gleichgewicht an: Drittanbieter-Software in die Lage zu versetzen, auf Ihre Cloud-Infrastruktur einzugreifen, um Cyberangriffe zu blockieren, und gleichzeitig die Prinzipien einer Sicherheitsarchitektur genauestens zu respektierenNull Vertrauen. Im Cloud-Ökosystem von Microsoft dreht sich diese Zugriffsverwaltung um eine zentrale Säule: die Microsoft Graph API.
Um einen SOC-Orchestrator sicher zu verbinden, kommt die Gewährung dauerhafter globaler Administratorrechte nicht in Frage. Sie müssen das Prinzip der geringsten Rechte anwenden, indem Sie granulare Berechtigungen auswählen. Hier finden Sie die vollständige Anleitung zu den wesentlichen Berechtigungen, mit denen Sie Ihre Sicherheitsbehebung beruhigt automatisieren können.
Die Bedeutung der Granularität bei Angriffen auf die Lieferkette
Um ein Sicherheitstool mit der Azure- oder Microsoft 365-Cloud zu verbinden, erstellten Administratoren in der Vergangenheit ein Dienstkonto mit der RolleGlobaler Administrator. Diese Vorgehensweise stellt eine große Schwachstelle dar: Wenn die Sicherheitsplattform des Drittanbieters kompromittiert wird, erbt der Angreifer die volle Macht über Ihren Microsoft-Mandanten.
Moderne Integrationen (wie Akuity SOC) nutzen in Microsoft Entra ID registrierte Anwendungen mit spezifischen API-Berechtigungen (Application Permissions). Zugriffsrechte werden operativ festgelegt. Das Tool kann nur explizit autorisierte API-Aufrufe ausführen, wodurch die Infrastruktur widerstandsfähig gegenüber Supply-Chain-Angriffen wird.
Die 4 Säulen der Microsoft Graph-Berechtigungen für SOC
Um den gesamten Lebenszyklus der Cyber-Behebung abzudecken (Identität verwalten, Terminal isolieren, Nachrichten bereinigen), verlässt sich ein SOAR-Orchestrator auf vier Kategorien wichtiger Berechtigungen:
1. Verwaltung des Sicherheitsstatus (Audit und Status)
Bevor das SOC Maßnahmen ergreifen kann, muss es Sicherheitskennzahlen sammeln, um diese in seine Entscheidungs-Dashboards einzuspeisen.
- Erlaubnis:
SecurityEvents.Read.All - Wofür ? :Dadurch kann der Orchestrator eine Verbindung zum einheitlichen Alarmfluss von Microsoft 365 Defender herstellen, um Vorfallmetadaten zu lesen. Mit dieser Berechtigung können Sie auch automatisch abrufenMicrosoft Secure Scoredes Mieters zur Anzeige der Farbindikatoren (Grün, Orange, Rot) innerhalb der Mieterverwaltung.
2. Kontrolle und Eindämmung von Identitäten (Entra ID)
Im Falle eines Session-Token-Diebstahls (Token Theft) oder eines Brute-Force-Angriffs muss SOAR in der Lage sein, das kompromittierte Benutzerkonto zu sperren.
- Berechtigungen:
User.ReadWrite.AllOderDirectory.ReadWrite.All - Wofür ? :Mit diesen wesentlichen Rechten können Sie den kritischen Befehl ausführen
revokeSignInSessionsum die sofortige Trennung des Benutzers von allen seinen Terminals zu erzwingen. Sie genehmigen auch die AktionresetUserPassword: Generieren Sie ein sicheres temporäres Passwort, das in einem dauerhaften Modus angezeigt wird, und erzwingen Sie, dass es bei der nächsten Anmeldung geändert wird. Schließlich ermöglichen sie es, den Benutzer als kompromittiert zu erklären (confirmUserCompromised) im Entra ID-Schutz, um den bedingten Zugriff auszulösen.
3. Behebung auf Endpunkten (Microsoft Intune)
Im Falle einer Malware- oder Ransomware-Infektion muss SOAR auf der Dateisystem- und Netzwerkebene der Maschine agieren.
- Erlaubnis:
DeviceManagementManagedDevices.ReadWrite.All - Wofür ? :Diese Autorisierung ermöglicht es der Plattform, von Intune und Defender for Endpoint verwaltete Geräte (Windows, macOS, Server) aufzulisten, um nicht konforme oder Bedrohungen ausgesetzte Maschinen zu identifizieren. Dieses Recht berechtigt zum Senden des Notfallbefehls zur Netzeindämmung (
isolateDevice) per Anruf/microsoft.graph.isolatesowie Fernauslösung einerSchneller Antiviren-ScanWindows Defender.
4. Nachrichtenbereinigung und Netzwerkblockierung
Um die Ausbreitung von E-Mail-Angriffen zu stoppen oder externe Angriffsinfrastrukturen zu blockieren (Command & Control).
- Erlaubnis:
SecurityActions.ReadWrite.All - Wofür ? :Unverzichtbar für die FührungGlobale E-Mail-Bereinigung (vorläufiges Löschen)über Endpunkt
/beta/security/remediationsdurch gezieltes AnvisierennetworkMessageId. Außerdem können Sie mit der nativen Microsoft Defender für Endpoint-API interagieren (/api/indicators), um IOCs-Blockierungsindikatoren (IP, Domänen oder SHA256-Hashes) mit einer strikten Gültigkeit von 90 Tagen einzufügen, um Ihre gesamte Flotte automatisch zu schützen.
Verstärkte Sicherheit auf Hardwareebene (PostgreSQL RLS)
Um einem Multi-Tenant-Tool diese Berechtigungen zu erteilen, muss sichergestellt werden, dass kein Client einen Befehl auf dem Mandanten eines anderen Clients ausführen kann.
Im Akuity SOC wird diese absolute Dichtheit über den Mechanismus direkt von der PostgreSQL-Datenbank-Engine sichergestelltSicherheit auf Zeilenebene (RLS). Jeder API-Aufrufversuch wird durch bestimmte Leistungsindizes validiert (idxtenantsworkspace,idxprofilsworkspace), um sicherzustellen, dass ein Analyst keine Microsoft Graph-Berechtigungen anfordern kannDasfür den genauen Umfang ihres Arbeitsbereichs, nachdem sie ihre Identität durch ihren MFA-Code (AAL2-Sitzung) validiert haben.
Fazit: Automatisierung mit Vertrauen
Durch die sorgfältige Einhaltung des Prinzips der geringsten Privilegien über Microsoft Graph-Berechtigungen können Sie eine leistungsstarke SOAR-Strategie implementieren, ohne dass Architekturfehler in Ihrer Cloud entstehen. Dies ist der Schlüssel zu einer ausgereiften Cyber-Governance, die den Anforderungen strengster Standards gerecht wird.
Sichern Sie Ihre Cyber-Automatisierungen mit der Zero-Trust-Architektur.> Finden Sie heraus, wie unserAgentenloser Microsoft Security SOAR Orchestratorimplementiert Best Practices für die API-Berechtigungsverwaltung.