circle-info
Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
search
Go to glueckkanja Website

Permisos

hashtag
Resumen

Esta página describe los permisos y el modelo de acceso para el Perfiles de Actividad de Aplicaciones en la Nube. El agente utiliza acceso de solo lectura a Microsoft Defender para Aplicaciones en la Nube, Microsoft Defender para Endpoint y datos de Microsoft Entra ID a través de Microsoft Graph API y Complementos de Security Copilot. Está diseñado para analizar la actividad de dominios SaaS, las correlaciones de alertas y los indicadores de inteligencia sobre amenazas sin modificar ninguna configuración o política en su entorno.

hashtag
Cómo Funciona

El agente se conecta de forma segura a su inquilino de Microsoft 365 y a la telemetría de Defender para Aplicaciones en la Nube para recopilar y correlacionar datos de actividad SaaS. Descubre dominios nuevos o de alto volumen, enriquece los hallazgos con contexto de alertas e inteligencia sobre amenazas, y genera una evaluación de riesgo con recomendaciones de gobernanza tales como PERMITIR, MONITOREAR, o BLOQUEAR.

Todas las operaciones se basan en los siguientes principios:

  • Acceso de solo lectura: El agente no altera ni elimina ningún dato.

  • Menor privilegio: Solo se solicitan los permisos mínimos necesarios para el análisis de la actividad de dominios.

  • Transparencia: Toda la recuperación de datos se realiza a través de puntos de conexión documentados de la Graph API o Complementos de Security Copilot, completamente auditables en los registros de Microsoft Entra.

hashtag
Roles requeridos de Entra ID y Defender

Asigne los siguientes roles y permisos a la cuenta de administrador o identidad administrada que opera el agente:

Rol
Descripción

Lector de Seguridad

Proporciona acceso de solo lectura a conocimientos y alertas de seguridad en Microsoft Defender para Aplicaciones en la Nube.

Administrador de Seguridad de Aplicaciones en la Nube (opcional)

Concede visibilidad adicional en las configuraciones de la Aplicación en la Nube y los datos de descubrimiento, si se requiere.

Lector de Directorio

Permite el acceso a datos de usuarios y grupos para la normalización y correlación de actividad.

Estos roles siguen el principio de menor privilegio y pueden limitarse a recursos específicos si no se requiere acceso a todo el inquilino.

hashtag
Transparencia del Acceso a Datos

La siguiente tabla describe qué fuentes de datos accede el agente y con qué propósito:

Tipo de Datos
Nivel de Acceso
Propósito

Registros de actividad de la Aplicación en la Nube (CloudAppEvents)

Solo lectura

Para identificar dominios nuevos y de alto volumen y detectar posibles exfiltraciones o ráfagas de carga.

Datos de alertas (AlertInfo y AlertEvidence)

Solo lectura

Para correlacionar alertas de alta severidad y tácticas de comportamiento asociadas a cada dominio.

Indicadores de inteligencia sobre amenazas (ThreatIntelligence.DTI)

Solo lectura

Para enriquecer dominios con datos de reputación y asociaciones de amenazas conocidas.

Datos de directorio y usuarios (opcional)

Solo lectura

Para normalizar la actividad de los usuarios y calcular métricas de riesgo basadas en usuarios.

Manejo de datos:

  • El agente no modifica ni elimina ningún dato de Defender, Entra o Graph.

  • Todo el procesamiento ocurre dentro del límite de su inquilino, garantizando que no haya exportación de datos.

  • Todo el acceso a datos queda registrado en los registros de auditoría de Microsoft Entra para plena visibilidad y cumplimiento.

  • El agente opera únicamente bajo permisos de aplicación delegados o aprobados otorgados por su administrador.

hashtag
Configuración del Agente

El agente admite parámetros de configuración para controlar la profundidad de descubrimiento, el alcance del análisis y el formato de salida:

Configuración
Opciones
Descripción

Alcance

dominios, alertas, intelAmenaza

Define qué fuentes de datos se incluyen en el análisis.

Modo

rápido, estándar, profundo

Especifica la profundidad del análisis y el nivel de enriquecimiento.

rápido – Identifica dominios recién observados y métricas básicas de actividad.

estándar – Correlaciona datos de alertas e inteligencia sobre amenazas para puntuación contextual. (recomendado)

profundo – Enriquecimiento y puntuación completos con generación detallada de guiones de respuesta y recomendaciones de gobernanza de dominios.

Ventana de Retrospectiva

7, 14, 30 días

Establece hasta qué punto en el pasado se evalúan los datos de actividad.

Asegúrese de que todos los roles requeridos estén asignados a la identidad que ejecuta el agente antes de iniciar un análisis.

hashtag
Consideraciones de Seguridad y Cumplimiento

  • Toda la comunicación con Microsoft Graph y las API de Defender está cifrada usando HTTPS y protegida por servicios de identidad de Microsoft.

  • El agente cumple con Zero Trust y principio de menor privilegio como principios de diseño.

  • Los permisos pueden revisarse o revocarse en cualquier momento a través de Microsoft Entra gestión de roles o configuración de consentimiento.

  • El agente no realiza operaciones de escritura ni de configuración, garantizando la seguridad operativa y la integridad del cumplimiento.

hashtag
Siguientes Pasos

  1. Verifique que la cuenta de servicio o la identidad administrada haya recibido los roles y permisos de API requeridos.

  2. Revise las políticas de gobernanza y asignación de roles de su organización antes del despliegue.

  3. Configure el modo de análisis deseado (rápido, estándar, o profundo) según el tamaño y la sensibilidad de su entorno.

AnteriorResumenSiguienteRegistro de cambios

Última actualización

¿Te fue útil?