Permisos
Descripción general
Esta página describe el modelo de permisos y acceso para este agente. El agente utiliza acceso de solo lectura a datos de incidentes de seguridad, alertas, dispositivos y riesgo de identidad a través de Complementos de Security Copilot. Está diseñado para ayudar en investigaciones forenses y de amenazas en Microsoft Defender XDR analizando incidentes, correlacionando contexto y enriqueciendo resultados con fuentes de inteligencia externa.
Cómo funciona
El agente se conecta de forma segura a su entorno Microsoft Defender XDR a través de los Complementos de Security Copilot para recopilar detalles de incidentes, alertas, resultados de búsqueda avanzada y datos de entidades relacionadas. Luego enriquece estos hallazgos con inteligencia de amenazas externa para generar una vista de investigación unificada.
Todas las interacciones siguen estos principios:
Acceso de solo lectura: El agente no modifica, resuelve ni elimina incidentes o alertas.
Privilegio mínimo: Solo se requieren los roles necesarios para leer datos de incidentes y amenazas.
Transparencia: Todo el acceso a los datos es auditable en Microsoft Entra y sigue los controles estándar de seguridad y cumplimiento.
Roles requeridos en Entra ID
Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:
Lector de seguridad
Proporciona acceso de solo lectura a incidentes, alertas y datos de investigación de Defender XDR.
Lector global
Concede acceso de solo lectura a través de los servicios de Microsoft 365 para correlación y contexto entre dominios.
Roles opcionales para un análisis mejorado
Administrador de seguridad
Permite la ejecución de consultas de búsqueda avanzada y una correlación de datos más profunda dentro de Defender XDR.
Asignar Administrador de seguridad habilita capacidades de búsqueda avanzada pero no es obligatorio para el análisis estándar.
Transparencia en el acceso a datos
La siguiente tabla describe qué datos puede acceder el agente y con qué propósito.
Incidentes y alertas de seguridad
Solo lectura
Para investigar y correlacionar alertas, identificar causas raíz y evaluar el impacto.
Datos de búsqueda avanzada
Solo lectura
Para realizar análisis de patrones y comportamiento entre entidades y telemetría.
Datos de dispositivos y endpoints
Solo lectura
Para vincular alertas con dispositivos, procesos y actividad de red.
Datos de riesgo de identidad
Solo lectura
Para analizar el comportamiento de usuarios y correlacionar incidentes con posibles compromisos de identidad.
Indicadores de inteligencia de amenazas externa
Solo lectura
Para enriquecer alertas y entidades con información contextual de riesgo.
Manejo de datos:
El agente no modifica ni exporta datos del cliente fuera del límite del inquilino.
Todo el acceso está limitado a Complementos de Security Copilot usando permisos delegados o a nivel de aplicación.
La actividad de acceso se registra en registros de auditoría de Microsoft Entra para cumplimiento y trazabilidad.
Uso del agente
Al ejecutar el agente, proporcione la entrada requerida para analizar incidentes o generar resúmenes de investigación.
Requerido
ID de incidente
"Analizar incidente 12345"
Opcional
Parámetros adicionales para contexto
"Generar informe forense para ID de incidente 67890"
Opcional
Modo de análisis profundo o resumen
"Análisis profundo del incidente 45678"
Los ID de incidentes se pueden encontrar en el portal de Microsoft 365 Defender bajo: Incidentes y alertas → Incidentes.
Servicios externos de inteligencia de amenazas
El agente enriquece automáticamente los indicadores usando los siguientes servicios externos — no se requiere configuración ni claves de API:
Shodan
Escaneo de puertos, detección de servicios y descubrimiento de vulnerabilidades.
Análisis SSL/TLS
Inspección y validación de metadatos de certificados.
Servicios WHOIS
Búsqueda de registro de dominio y propiedad.
CIRCL
Búsquedas de hash de malware y verificaciones de reputación de archivos.
Servicios de reputación de IP/Dominio
Puntuación y evaluación contextual de riesgo para indicadores externos.
Estos servicios se consultan automáticamente como parte de cada análisis para mejorar el contexto de detección y aumentar la precisión investigativa.
Consideraciones de seguridad y cumplimiento
Toda la comunicación a través de los Complementos de Security Copilot está cifrada usando HTTPS y autenticada mediante los servicios de identidad de Microsoft.
El agente se adhiere a los principios de confianza cero y privilegio mínimo de Microsoft.
El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o gestión de consentimiento de aplicaciones.
Próximos pasos
Verifique que la cuenta de administrador tenga los roles requeridos asignados.
Asegúrese de que Defender XDR y las fuentes de telemetría relacionadas estén activas y contengan datos de incidentes recientes.
Revise los resultados de la investigación dentro de Security Copilot para obtener recomendaciones contextuales.
Última actualización
¿Te fue útil?