Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
Ctrlk
Go to glueckkanja Website

Permisos

Descripción general

Esta página describe los permisos y el modelo de acceso para el Agente de mapeo de ataques. El agente utiliza acceso de solo lectura a Microsoft Sentinel, Microsoft Defender y los datos de Security Copilot a través de Microsoft Graph API y Security Copilot Plugins. Está diseñado para analizar configuraciones de reglas analíticas, asignaciones de ATT&CK y correlaciones de telemetría sin realizar ningún cambio en su entorno.

Cómo funciona

El agente se conecta de forma segura a su tenant y al área de trabajo de Microsoft Sentinel para recuperar metadatos de reglas analíticas, detalles de asignación y telemetría asociada. Evalúa y valida las asignaciones de táctica, técnica y sub-técnica de MITRE ATT&CK, asegurando que las asignaciones representen con precisión la cobertura de detección.

Todas las interacciones siguen estos principios:

  • Acceso de solo lectura: El agente no modifica, crea ni elimina reglas analíticas.

  • Privilegio mínimo: Solo se utilizan los roles y permisos mínimos necesarios para leer datos de Sentinel y Defender.

  • Transparencia: Todo el acceso a los datos se realiza a través de puntos de conexión de API documentados y puede auditarse en Microsoft Entra.

Roles requeridos de Entra ID y Sentinel

Asigne los siguientes roles a la cuenta de administrador o a la identidad administrada que ejecuta el agente:

Rol
Descripción

Microsoft Sentinel Reader

Proporciona acceso de solo lectura a las configuraciones de reglas analíticas y a los metadatos de alertas.

Microsoft Sentinel Responder (opcional)

Añade datos de relación de incidentes si está habilitado el análisis extendido.

Lector de seguridad

Otorga visibilidad sobre la información y los eventos de seguridad de Defender sin derechos de modificación.

Directory Reader

Permite acceso de solo lectura a los datos de directorio de usuarios y grupos para la correlación de reglas.

Estos roles siguen el principio de mínimo privilegio y se pueden ajustar en función de las políticas de gobernanza de seguridad de su organización.

Transparencia en el acceso a los datos

La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito:

Tipo de datos
Nivel de acceso
Propósito

metadatos de reglas analíticas de Sentinel

Solo lectura

Para inventariar reglas analíticas, validar asignaciones de MITRE y detectar inconsistencias.

alertas de seguridad y muestras de telemetría

Solo lectura

Para verificar que las técnicas asignadas se alineen con el comportamiento real de detección.

base de conocimiento de MITRE ATT&CK

Solo lectura

Para validar los identificadores de táctica y técnica y garantizar la alineación canónica.

datos de directorio y del área de trabajo

Solo lectura

Para correlacionar las reglas analíticas con los propietarios y el contexto de configuración.

Manejo de datos:

  • El agente no modifica, crea ni elimina datos en su tenant.

  • No se exportan datos del cliente fuera del límite del tenant.

  • Todo el acceso se produce a través de Microsoft Graph y Security Copilot Plugins mediante permisos delegados o de aplicación.

  • La actividad de acceso se registra en los registros de auditoría de Microsoft Entra para una trazabilidad completa.

Configuración del agente

El agente admite parámetros configurables que definen el alcance y la profundidad de su validación:

Configuración
Opciones
Descripción

Scope

analyticRules, telemetry, mappingValidation

Determina qué componentes de Sentinel se incluyen en el análisis.

Modo

quick, standard, deep

Define la profundidad del análisis y el nivel de correlación.

quick – Revisión básica de las asignaciones de reglas para la sintaxis y la estructura.

standard – Validación equilibrada de asignaciones usando el conocimiento de MITRE y telemetría limitada. (recomendado)

deep – Validación completa con muestreo de telemetría y correlación de regla a detección.

Antes de ejecutar el agente, asegúrese de que todos los roles y permisos de área de trabajo requeridos estén asignados.

Consideraciones de seguridad y cumplimiento

  • Toda la comunicación con Microsoft Sentinel y Microsoft Graph está cifrada con HTTPS y protegida por Microsoft identity services.

  • El agente sigue Zero Trust y privilegio mínimo .

  • El acceso puede revisarse o revocarse en cualquier momento a través de Microsoft Entra role assignments o administración del consentimiento de aplicaciones.

  • No se realizan cambios de configuración dentro de su entorno, lo que garantiza una seguridad operativa completa durante el análisis.

Próximos pasos

  1. Verifique que al administrador o a la identidad administrada que ejecuta el agente se le hayan asignado los roles requeridos.

  2. Confirme que los permisos de acceso a la API de Microsoft Sentinel y Defender estén activos.

  3. Revise las políticas de privilegio mínimo y asignación de roles de su organización antes de la implementación.

AnteriorDescripción generalSiguienteRegistro de cambios

Última actualización

¿Te fue útil?