Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Optimierungs-Agent für bedingten Zugriff hilft Organisationen dabei, ihren Sicherheitsstatus zu verbessern, indem Anmeldemuster automatisch analysiert und Richtlinienoptimierungen vorgeschlagen werden. Dieser Microsoft Security Copilot-Agent identifiziert nicht geschützte Benutzer und Anwendungen, empfiehlt Richtlinienverbesserungen und hilft dabei, redundante Richtlinien zu konsolidieren.
Um Transparenz zu gewährleisten und die Kontrolle über automatisierte Empfehlungen zu gewährleisten, bietet Die Microsoft Entra ID umfassende Protokollierung und Metriken für alle Agentaktivitäten. In diesem Artikel wird erläutert, wie Sie die Agentleistung überwachen, Überwachungsprotokolle überprüfen und die Metriken verstehen, mit denen Sie die Auswirkungen des Agents auf Ihre Sicherheitsumgebung messen können.
Voraussetzungen
- Um die Microsoft Entra-Überwachungsprotokolle anzuzeigen, benötigen Sie mindestens die Rolle " Berichtsleser ".
- "Globaler Reader" und "Sicherheitsleser" können den Agenten und alle Vorschläge anzeigen, jedoch keine Aktionen ausführen.
-
Globaler Administrator, Sicherheitsadministrator und Administrator für bedingten Zugriff können den Agent anzeigen und Maßnahmen auf Grundlage der Vorschläge ergreifen.
- Weitere Informationen zu Rollen für den Optimierungsagent für bedingten Zugriff finden Sie unter Zuweisen des Security Copilot-Zugriffs
- Überprüfen der Datenschutz- und Datensicherheit in Microsoft Security Copilot
Zusammenfassung des Agenten
Die Agent-Zusammenfassung oben auf der Seite "Optimierungs-Agent für bedingten Zugriff" bietet eine kurze Zusammenfassung der Informationen, die der Agent in den letzten 30 Tagen entdeckt hat. Die Gesamtzahl der vom Agent verbrauchten Sicherheitsberechnungseinheiten (SCU) wird ebenfalls bereitgestellt.
- Nicht geschützte Benutzer entdeckt: Die Anzahl der vom Agent identifizierten Benutzer und durch eine vom Agent vorgeschlagene Richtlinie geschützt.
- Nicht geschützte Apps entdeckt: Die Anzahl der vom Agent identifizierten Anwendungen und durch eine vom Agent vorgeschlagene Richtlinie geschützt.
- Anmeldungen geschützt: Die Anzahl der Anmeldungen, die durch eine vom Agent vorgeschlagene Richtlinie geschützt wurden.
- Verbrauchte Sicherheitsberechnungseinheiten: Die Gesamtzahl der vom Agenten in den letzten 30 Tagen verbrauchten SCUs.
Die Werte in der Agentzusammenfassung spiegeln die Aktivität wider, nachdem Vorschläge angewendet wurden. Wenn Sie den Agenten ausführen und keine Vorschläge anwenden, werden die Werte in der Agentenzusammenfassung nicht geändert.
Insights-Dashboard (Vorschau)
Der Optimierungs-Agent für bedingten Zugriff enthält ein Insights-Dashboard, das Datenvisualisierungen der Verbesserungen bereitstellt, die durch anwenden von Agentvorschlägen vorgenommen wurden. Das Dashboard ist eine hervorragende Möglichkeit, den Fortschritt mit Ihrer Führung zu teilen, um den Wert von Zero Trust-Investitionen zu demonstrieren, ohne benutzerdefinierte Berichte zu erstellen.
Das Insights-Dashboard bietet die folgenden Metriken:
- Objekte mit verbesserter Abdeckung: Benutzer, Anwendungen oder Agentenidentitäten mit kritischen Richtlinienlücken, die vom Agenten identifiziert wurden und jetzt durch mindestens ein neues Steuerelement in den letzten 30 Tagen abgedeckt werden.
- Objekte, die keine Abdeckung haben: Benutzer, Anwendungen oder Agentidentitäten fehlen derzeit eine Abdeckung aus einer oder mehreren kritischen Richtlinien.
Das Dashboard enthält Links, um einen Drilldown zu bestimmten Metriken und eine Option zum Herunterladen des Berichts als CSV-Datei zu erhalten.
Überwachungsprotokolle
Aktivitäten im Zusammenhang mit Security Copilot Agents in Microsoft Entra werden in den Microsoft Entra-Überwachungsprotokollen und den Security Copilot-Überwachungsprotokollen in Microsoft Purview angezeigt. Jeder Dienst stellt unterschiedliche Informationen zur Aktivität des Agenten bereit.
Die Microsoft Purview-Protokolle umfassen administrative Aktionen auf Mandantenebene und Benutzerinteraktionen innerhalb der Security Copilot-Plattform. Weitere Informationen finden Sie unter Access the Security Copilot audit logs.
Die Microsoft Entra-Überwachungsprotokolle umfassen Änderungen, die von einem Agent an Microsoft Entra-Ressourcen vorgenommen wurden, z. B. Richtlinien für bedingten Zugriff. Vom Agent erstellte oder geänderte Richtlinien werden im Bereich für bedingten Zugriff mit Conditional Access Optimization Agent markiert.
In den Überwachungsprotokollen wird im Feld "Initiiert von" (Akteur) der Name des Benutzers angezeigt, der den Agent gestartet hat. Um die Agentaktivität schnell anzuzeigen, filtern Sie nach Dienst: Bedingter Zugriff.
