# Permisos

### Descripción general

Esta página describe los permisos y el modelo de acceso para el **Agente de mapeo de ataques**.\
El agente utiliza **acceso de solo lectura** a Microsoft Sentinel, Microsoft Defender y los datos de Security Copilot a través de **Microsoft Graph API** y **Security Copilot Plugins**.\
Está diseñado para analizar configuraciones de reglas analíticas, asignaciones de ATT\&CK y correlaciones de telemetría **sin realizar ningún cambio** en su entorno.

***

### Cómo funciona

El agente se conecta de forma segura a su tenant y al área de trabajo de Microsoft Sentinel para recuperar metadatos de reglas analíticas, detalles de asignación y telemetría asociada.\
Evalúa y valida las asignaciones de táctica, técnica y sub-técnica de MITRE ATT\&CK, asegurando que las asignaciones representen con precisión la cobertura de detección.

Todas las interacciones siguen estos principios:

* **Acceso de solo lectura:** El agente no modifica, crea ni elimina reglas analíticas.
* **Privilegio mínimo:** Solo se utilizan los roles y permisos mínimos necesarios para leer datos de Sentinel y Defender.
* **Transparencia:** Todo el acceso a los datos se realiza a través de puntos de conexión de API documentados y puede auditarse en Microsoft Entra.

***

### Roles requeridos de Entra ID y Sentinel

Asigne los siguientes roles a la cuenta de administrador o a la identidad administrada que ejecuta el agente:

| Rol                                           | Descripción                                                                                                  |
| --------------------------------------------- | ------------------------------------------------------------------------------------------------------------ |
| **Microsoft Sentinel Reader**                 | Proporciona acceso de solo lectura a las configuraciones de reglas analíticas y a los metadatos de alertas.  |
| **Microsoft Sentinel Responder** *(opcional)* | Añade datos de relación de incidentes si está habilitado el análisis extendido.                              |
| **Lector de seguridad**                       | Otorga visibilidad sobre la información y los eventos de seguridad de Defender sin derechos de modificación. |
| **Directory Reader**                          | Permite acceso de solo lectura a los datos de directorio de usuarios y grupos para la correlación de reglas. |

Estos roles siguen el **principio de mínimo privilegio** y se pueden ajustar en función de las políticas de gobernanza de seguridad de su organización.

***

### Transparencia en el acceso a los datos

La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito:

| Tipo de datos                                 | Nivel de acceso | Propósito                                                                                     |
| --------------------------------------------- | --------------- | --------------------------------------------------------------------------------------------- |
| metadatos de reglas analíticas de Sentinel    | Solo lectura    | Para inventariar reglas analíticas, validar asignaciones de MITRE y detectar inconsistencias. |
| alertas de seguridad y muestras de telemetría | Solo lectura    | Para verificar que las técnicas asignadas se alineen con el comportamiento real de detección. |
| base de conocimiento de MITRE ATT\&CK         | Solo lectura    | Para validar los identificadores de táctica y técnica y garantizar la alineación canónica.    |
| datos de directorio y del área de trabajo     | Solo lectura    | Para correlacionar las reglas analíticas con los propietarios y el contexto de configuración. |

**Manejo de datos:**

* El agente no modifica, crea ni elimina datos en su tenant.
* No se exportan datos del cliente fuera del límite del tenant.
* Todo el acceso se produce a través de Microsoft Graph y Security Copilot Plugins mediante permisos delegados o de aplicación.
* La actividad de acceso se registra en los registros de auditoría de Microsoft Entra para una trazabilidad completa.

***

### Configuración del agente

El agente admite parámetros configurables que definen el alcance y la profundidad de su validación:

| Configuración | Opciones                                                                                                                       | Descripción                                                       |
| ------------- | ------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------- |
| **Scope**     | `analyticRules`, `telemetry`, `mappingValidation`                                                                              | Determina qué componentes de Sentinel se incluyen en el análisis. |
| **Modo**      | `quick`, `standard`, `deep`                                                                                                    | Define la profundidad del análisis y el nivel de correlación.     |
|               | • **quick** – Revisión básica de las asignaciones de reglas para la sintaxis y la estructura.                                  |                                                                   |
|               | • **standard** – Validación equilibrada de asignaciones usando el conocimiento de MITRE y telemetría limitada. *(recomendado)* |                                                                   |
|               | • **deep** – Validación completa con muestreo de telemetría y correlación de regla a detección.                                |                                                                   |

Antes de ejecutar el agente, asegúrese de que todos los roles y permisos de área de trabajo requeridos estén asignados.

***

### Consideraciones de seguridad y cumplimiento

* Toda la comunicación con Microsoft Sentinel y Microsoft Graph está cifrada con **HTTPS** y protegida por **Microsoft identity services**.
* El agente sigue **Zero Trust** y **privilegio mínimo** .
* El acceso puede revisarse o revocarse en cualquier momento a través de **Microsoft Entra role assignments** o **administración del consentimiento de aplicaciones**.
* No se realizan cambios de configuración dentro de su entorno, lo que garantiza una seguridad operativa completa durante el análisis.

***

### Próximos pasos

1. Verifique que al administrador o a la identidad administrada que ejecuta el agente se le hayan asignado los roles requeridos.
2. Confirme que los permisos de acceso a la API de Microsoft Sentinel y Defender estén activos.
3. Revise las políticas de privilegio mínimo y asignación de roles de su organización antes de la implementación.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/es/agents/attack-mapping-agent/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.