circle-info
Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
search
Go to glueckkanja Website

Permisos

hashtag
Resumen

Esta página describe el modelo de permisos y acceso para el Agente de mapeo ATT&CK. El agente utiliza acceso de solo lectura a Microsoft Sentinel, Microsoft Defender y datos de Security Copilot a través de Microsoft Graph API y Plugins de Security Copilot. Está diseñado para analizar las configuraciones de reglas analíticas, los mapeos ATT&CK y las correlaciones de telemetría sin realizar ningún cambio en su entorno.

hashtag
Cómo funciona

El agente se conecta de forma segura a su tenant y al espacio de trabajo de Microsoft Sentinel para recuperar metadatos de reglas analíticas, detalles de mapeo y telemetría asociada. Evalúa y valida las asignaciones de tácticas, técnicas y subtécnicas de MITRE ATT&CK, asegurando que los mapeos representen con precisión la cobertura de detección.

Todas las interacciones siguen estos principios:

  • Acceso de solo lectura: El agente no modifica, crea ni elimina reglas analíticas.

  • Mínimos privilegios: Solo se usan los roles y permisos mínimos necesarios para leer los datos de Sentinel y Defender.

  • Transparencia: Todo el acceso a los datos se realiza a través de endpoints de API documentados y puede auditarse en Microsoft Entra.

hashtag
Roles requeridos de Entra ID y Sentinel

Asigne los siguientes roles a la cuenta de administrador o identidad administrada que ejecute el agente:

Rol
Descripción

Lector de Microsoft Sentinel

Proporciona acceso de solo lectura a las configuraciones de reglas analíticas y a los metadatos de alertas.

Respondedor de Microsoft Sentinel (opcional)

Agrega datos de relación de incidentes si se habilita el análisis ampliado.

Lector de seguridad

Otorga visibilidad de los informes y eventos de Defender sin derechos de modificación.

Lector de directorio

Permite acceso de solo lectura a datos de usuarios y grupos del directorio para la correlación de reglas.

Estos roles siguen el principio de mínimos privilegios y pueden ajustarse según las políticas de gobernanza de seguridad de su organización.

hashtag
Transparencia del acceso a los datos

La siguiente tabla describe qué datos puede acceder el agente y con qué propósito:

Tipo de datos
Nivel de acceso
Propósito

Metadatos de reglas analíticas de Sentinel

Solo lectura

Para inventariar las reglas analíticas, validar los mapeos MITRE y detectar inconsistencias.

Alertas de seguridad y muestras de telemetría

Solo lectura

Para verificar que las técnicas mapeadas se alineen con el comportamiento real de detección.

Base de conocimiento MITRE ATT&CK

Solo lectura

Para validar los identificadores de tácticas y técnicas y asegurar la alineación canónica.

Datos de directorio y del espacio de trabajo

Solo lectura

Para correlacionar reglas analíticas con propietarios y el contexto de configuración.

Manejo de datos:

  • El agente no modifica, crea ni elimina datos en su tenant.

  • No se exportan datos de clientes fuera del límite del tenant.

  • Todo el acceso se realiza a través de Microsoft Graph y los Plugins de Security Copilot utilizando permisos delegados o de aplicación.

  • La actividad de acceso se registra en los registros de auditoría de Microsoft Entra para una trazabilidad completa.

hashtag
Configuración del agente

El agente admite parámetros configurables que definen el alcance y la profundidad de su validación:

Configuración
Opciones
Descripción

Alcance

analyticRules, telemetry, mappingValidation

Determina qué componentes de Sentinel se incluyen en el análisis.

Modo

rápido, estándar, profundo

Define la profundidad del análisis y el nivel de correlación.

rápido – Revisión básica de los mapeos de reglas para sintaxis y estructura.

estándar – Validación equilibrada de mapeos usando el conocimiento de MITRE y telemetría limitada. (recomendado)

profundo – Validación completa con muestreo de telemetría y correlación regla-a-detección.

Antes de ejecutar el agente, asegúrese de que se hayan asignado todos los roles y permisos de espacio de trabajo requeridos.

hashtag
Consideraciones de seguridad y cumplimiento

  • Toda la comunicación con Microsoft Sentinel y Microsoft Graph se cifra con HTTPS y se asegura mediante los servicios de identidad de Microsoft.

  • El agente sigue Zero Trust y mínimos privilegios principios.

  • El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles en Microsoft Entra o gestión del consentimiento de aplicaciones.

  • No se realizan cambios de configuración dentro de su entorno, lo que garantiza plena seguridad operativa durante el análisis.

hashtag
Próximos pasos

  1. Verifique que el administrador o la identidad administrada que ejecuta el agente tenga asignados los roles requeridos.

  2. Confirme que los permisos de acceso a las API de Microsoft Sentinel y Defender estén activos.

  3. Revise las políticas de mínimos privilegios y asignación de roles de su organización antes del despliegue.

AnteriorResumenSiguienteRegistro de cambios

Última actualización

¿Te fue útil?