Explanation:
タスク
ユーザー
仮想マシンで Microsoft Defender for Servers を有効にします。
ユーザー1
セキュリティ推奨事項を確認し、サーバーの脆弱性スキャンを有効にします。
ユーザー1
* クエリが成功しました
これは、最小権限の原則を使用したロールベースのアクセス制御 (RBAC) に関する質問です。
ユーザーとロールの表は次のとおりです。
名前
役割
ユーザー1
セキュリティ管理者
ユーザー2
セキュリティリーダー
ユーザー3
寄稿者
スプレッドシートにエクスポート
* アクション: これはサブスクリプション レベルでの管理/構成タスクであり、多くの場合、Defender プランの有効化や VM への拡張機能のインストールに関連します。
* 必要なアクセス許可: Microsoft Defender for Cloud のセキュリティ ポリシーと設定を変更する機能と、VM に拡張機能をインストールするアクセス許可。
* セキュリティ管理者ロールは、このために明示的に設計されており、セキュリティ機能、ポリシー、プログラム登録 (Defender プランの有効化など) を管理するための権限を付与します。
* 共同作成者ロールでは、必要なエージェントと拡張機能をインストールすることでこれを実行することもできますが、すべてのリソースを管理するための広範なアクセス権が付与されるため、純粋にセキュリティに重点を置いたタスクに対する最小権限の原則に違反します。
* 最小権限ユーザー: ユーザー1 (セキュリティ管理者)
* アクション: このタスクには 2 つの部分があります。
* セキュリティ推奨事項の確認：これは読み取り専用のアクションです。セキュリティリーダーのロールで十分です。
* サーバーの脆弱性スキャンを有効にする: これは、セキュリティ構成またはリソース自体への書き込みアクセスを必要とするセキュリティ機能 (脆弱性評価) を構成することを意味します。
* セキュリティ リーダー ロールでは、「有効化」アクションを実行できません。
* セキュリティ管理者ロールには、スキャン機能を有効にするためにセキュリティ ポリシーと構成を変更するために必要な権限があります。
* 共同作成者ロールでもこれを行うことができますが、セキュリティ固有の構成変更に対しては、セキュリティ管理者ロールに最も権限がありません。
* 最小権限ユーザー: タスク全体に「有効化」（書き込み）アクションが含まれているため、読み取りと書き込みの両方のセキュリティアクションを実行できるロールを使用する必要があります。User1（セキュリティ管理者）が適切な選択肢です。
タスク
ユーザー
仮想マシンで Microsoft Defender for Servers を有効にします。
ユーザー1
セキュリティ推奨事項を確認し、サーバーの脆弱性スキャンを有効にします。
ユーザー1

説明
安全でないKerberos委任に関連するセキュリティリスクを軽減するには、公開エンティティとしてリストされているコンピュータオブジェクトのプロパティを変更する必要があります。具体的には、Kerberos委任設定を「すべてのサービスへの委任でこのコンピュータを信頼する」または「指定されたサービスへの委任でのみこのコンピュータを信頼する」に設定してください。これにより、コンピュータがKerberos委任を使用してネットワーク上の他のコンピュータにアクセスできなくなります。
参考: https://docs.microsoft.com/en-us/windows/security/identity-protection/microsoft-defender-for-identit

参照：
https://docs.microsoft.com/en-us/azure/security-center/workflow-automation#ロジック アプリを作成し、自動的に実行する必要があるタイミングを定義します

Explanation:
タスク
役割
データ共有とフィードバックのオプションを更新する
セキュリティ管理者
Microsoft Sentinelインシデントを調査する
Microsoft Sentinel レスポンダー
Microsoft Sentinel の組み込みロールのドキュメントでは、以下が定義されています。
Microsoft Sentinel Responder - インシデントを表示し、インシデントの割り当て、重大度の変更、インシデントのクローズなどのインシデント対応操作を実行できます。
このロールは、インシデントを調査して対応する権限を付与します。これには、Microsoft Copilot for Security と連携してインシデントを分析し、Sentinel 内でクエリを実行することが含まれます。
一方、Microsoft Sentinel Reader ロールでは、インシデントを表示することはできますが、調査したり変更したりすることはできないため、制限が厳しすぎます。
Cloud App Security 管理者ロールは、Sentinel インシデント調査とは無関係です。
したがって、Copilot for Security を使用して Sentinel インシデントを調査するには、Microsoft Sentinel Responder が適切かつ最も権限の少ないロールです。
タスク
割り当てる役割
データ共有とフィードバックのオプションを更新する
セキュリティ管理者
Microsoft Sentinelインシデントを調査する
Microsoft Sentinel レスポンダー
* セキュリティ管理者 # Copilot のセキュリティ設定 (データ共有とフィードバック) を構成するために必要です。
* Microsoft Sentinel Responder # インシデントを積極的に調査するために必要 (Sentinel 操作の最小権限)。
これらは、Microsoft Copilot for Security、Microsoft Sentinel、および Microsoft Entra のロールベースのアクセス制御 (RBAC) のドキュメントと一致しています。

Explanation:

参照：
https://docs.microsoft.com/en-us/azure/sentinel/connect-cef-agent?tabs=rsyslog