Permisos
Resumen
Esta página describe los permisos y el modelo de acceso para el Insider Risk Profiler. El agente utiliza acceso de solo lectura a Microsoft Purview Insider Risk Management, Microsoft Defender y datos de Microsoft Entra ID a través de Microsoft Graph API y Security Copilot Plugins. Está diseñado para analizar alertas de riesgo interno, niveles de riesgo de usuarios, cumplimiento de dispositivos y eventos DLP sin realizar ninguna modificación en su entorno.
Cómo funciona
El agente se conecta de forma segura a Microsoft Purview y Defender para recopilar alertas de Insider Risk Management (IRM), señales de riesgo de identidad y telemetría de comportamiento a través de múltiples fuentes de actividad como correo electrónico, aplicaciones en la nube y operaciones de archivos. Enriquece las alertas con datos contextuales de Defender y Entra ID, calcula una puntuación de riesgo compuesta y genera una cola priorizada con recomendaciones para investigación y remediación.
Todas las operaciones siguen estos principios fundamentales:
Acceso de solo lectura: El agente no modifica ni elimina ningún dato.
Privilegio mínimo: Solo se solicitan los permisos mínimos necesarios para la correlación y el enriquecimiento.
Transparencia: Todo el acceso ocurre a través de puntos de conexión documentados de Microsoft Graph y puede auditarse completamente mediante los registros de actividad de Microsoft Entra.
Roles requeridos de Entra ID y Purview
Asigne los siguientes roles y permisos a la cuenta de administrador o identidad administrada que ejecuta el agente:
Analista de Insider Risk Management
Proporciona acceso directo de solo lectura a las alertas de Insider Risk Management (IRM) dentro de Microsoft Purview.
Lector de seguridad
Concede visibilidad en alertas de seguridad, incidentes y señales de comportamiento en Defender y Sentinel.
Lector del directorio
Permite acceso de solo lectura a metadatos de usuarios y grupos de Entra ID para correlación de alertas e informes.
Lector de Intune (opcional)
Proporciona contexto de cumplimiento de dispositivos al analizar alertas vinculadas a endpoints gestionados.
Estos roles se adhieren al principio de privilegio mínimo y pueden limitarse a conjuntos de datos o grupos específicos según sea necesario.
Transparencia del acceso a los datos
La tabla a continuación describe las fuentes de datos a las que accede el agente y sus propósitos:
Alertas de Insider Risk Management
Solo lectura
Para recuperar metadatos de alertas y generar colas de riesgo priorizadas.
Alertas e incidentes de seguridad
Solo lectura
Para cruzar referencias con datos de Defender para enriquecimiento contextual.
Usuarios riesgosos y eventos de identidad
Solo lectura
Para evaluar indicadores de riesgo de identidad a nivel de usuario y la probabilidad de compromiso.
Telemetría de Advanced Hunting
Solo lectura
Para analizar eventos de archivos, correo electrónico, nube y autenticación para la puntuación de comportamiento.
Violaciones de políticas DLP
Solo lectura
Para detectar anomalías en el manejo de datos sensibles y patrones de exfiltración.
Postura y cumplimiento del dispositivo
Solo lectura (opcional)
Para enriquecer los perfiles de riesgo de los usuarios con información sobre el estado del dispositivo.
Datos de usuarios y grupos del directorio
Solo lectura
Para normalizar identidades de usuarios, correlacionar asignaciones y mejorar la claridad de los informes.
Manejo de datos:
El agente nunca modifica, crea ni elimina registros.
Todo el procesamiento y enriquecimiento ocurre dentro del límite de su inquilino de Microsoft 365.
El acceso a los datos se realiza a través de Microsoft Graph y Security Copilot Plugins con permisos delegados o permisos de aplicación aprobados.
Cada evento de acceso se registra y es rastreable mediante los registros de auditoría de Microsoft Entra para cumplimiento.
Configuración del agente
El agente admite parámetros de configuración que controlan la profundidad del análisis, el alcance del procesamiento y la estructura de salida:
Alcance
alertas, usuarios, dispositivos, dlp
Define qué componentes de Insider Risk se incluyen en el análisis.
Modo
rápido, estándar, profundo
Determina la profundidad del enriquecimiento y la correlación.
• rápido – Triaje básico de alertas utilizando factores clave de identidad y riesgo.
• estándar – Enriquecimiento y puntuación equilibrados en identidad, actividad y datos DLP. (recomendado)
• profundo – Enriquecimiento completo de múltiples fuentes que incluye postura del dispositivo y análisis de anomalías.
Ventana de tiempo
7, 14, 30 días
Define hasta qué punto hacia atrás se analizan las alertas y los eventos de riesgo.
Asegúrese de que la identidad asignada o la cuenta de administrador tenga todos los roles y permisos de fuentes de datos requeridos antes de iniciar un análisis.
Consideraciones de seguridad y cumplimiento
Toda la comunicación entre el agente, Microsoft Graph y las API de Defender se asegura usando HTTPS y se autentica con servicios de identidad de Microsoft.
El agente se adhiere a los Zero Trust y privilegio mínimo principios de diseño.
Los permisos pueden revisarse, restringirse o revocarse en cualquier momento a través de asignaciones de roles de Microsoft Entra o administración de consentimiento de aplicaciones.
No se escribe ni modifica ningún dato durante el análisis, garantizando seguridad operativa completa e integridad de cumplimiento.
Próximos pasos
Confirme que los roles requeridos (Analista de Insider Risk Management, Lector de seguridad y Lector del directorio) estén asignados a la cuenta o identidad que ejecuta el agente.
Verifique el acceso a datos de Microsoft Purview y Defender mediante permisos de Microsoft Graph.
Revise las políticas de gobernanza de datos y asignación de roles de su organización antes de habilitar el agente en producción.
Última actualización
¿Te fue útil?