Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
Ctrlk
Go to glueckkanja Website

Permisos

Descripción general

Esta página describe los permisos y el modelo de acceso para el Perfilador de actividad de aplicaciones en la nube. El agente usa acceso de solo lectura a Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint y Microsoft Entra ID datos a través de documentado Microsoft Graph API y Security Copilot Plugins. Está diseñado para analizar la actividad de dominios SaaS, las correlaciones de alertas y los indicadores de inteligencia sobre amenazas sin modificar ninguna configuración o directiva en tu entorno.

Cómo funciona

El agente se conecta de forma segura a tu inquilino de Microsoft 365 y a la telemetría de Defender for Cloud Apps para recopilar y correlacionar datos de actividad SaaS. Descubre dominios nuevos o de gran volumen, enriquece los hallazgos con contexto de alertas e inteligencia sobre amenazas y genera una evaluación de riesgos con recomendaciones de gobernanza como PERMITIR, VIGILAR, o BLOQUEAR.

Todas las operaciones se basan en los siguientes principios:

  • Acceso de solo lectura: El agente no altera ni elimina ningún dato.

  • Privilegio mínimo: Solo se solicitan los permisos mínimos necesarios para el análisis de la actividad de dominios.

  • Transparencia: Toda la recuperación de datos se realiza a través de puntos de conexión de Graph API documentados o complementos de Security Copilot, totalmente auditables en los registros de Microsoft Entra.

Roles de Entra ID y Defender requeridos

Asigna los siguientes roles y permisos a la cuenta de administrador o identidad administrada que opera el agente:

Rol
Descripción

Lector de seguridad

Proporciona acceso de solo lectura a información y alertas de seguridad en Microsoft Defender for Cloud Apps.

Cloud App Security Administrator (opcional)

Otorga visibilidad adicional a la configuración de Cloud App y a los datos de descubrimiento, si es necesario.

Directory Reader

Permite el acceso a datos de usuarios y grupos para la normalización y correlación de la actividad.

Estos roles siguen el principio de mínimo privilegio y puede limitarse a recursos específicos si no se requiere acceso para todo el inquilino.

Transparencia en el acceso a los datos

La siguiente tabla describe qué fuentes de datos accede el agente y con qué propósito:

Tipo de datos
Nivel de acceso
Propósito

Registros de actividad de Cloud App (CloudAppEvents)

Solo lectura

Para identificar dominios nuevos y de gran volumen y detectar posibles exfiltraciones o ráfagas de carga.

Datos de alertas (AlertInfo y AlertEvidence)

Solo lectura

Para correlacionar alertas de alta gravedad y tácticas de comportamiento asociadas con cada dominio.

Indicadores de inteligencia sobre amenazas (ThreatIntelligence.DTI)

Solo lectura

Para enriquecer los dominios con datos de reputación y asociaciones de amenazas conocidas.

Datos de directorio y usuarios (opcional)

Solo lectura

Para normalizar la actividad de los usuarios y calcular métricas de riesgo basadas en usuarios.

Manejo de datos:

  • El agente no modifica ni elimina ningún dato de Defender, Entra o Graph.

  • Todo el procesamiento se realiza dentro de los límites de tu inquilino, lo que garantiza que no haya exportación de datos.

  • Todo el acceso a los datos se registra en los registros de auditoría de Microsoft Entra para una visibilidad y conformidad completas.

  • El agente opera solo bajo permisos de aplicación delegados o aprobados concedidos por tu administrador.

Configuración del agente

El agente admite parámetros de configuración para controlar la profundidad del descubrimiento, el alcance del análisis y el formato de salida:

Configuración
Opciones
Descripción

Scope

dominios, alertas, threatIntel

Define qué fuentes de datos se incluyen en el análisis.

Modo

rápido, estándar, profundo

Especifica la profundidad del análisis y el nivel de enriquecimiento.

rápido – Identifica dominios observados recientemente y métricas básicas de actividad.

estándar – Correlaciona alertas y datos de inteligencia sobre amenazas para la puntuación contextual. (recomendado)

profundo – Enriquecimiento y puntuación completos con generación detallada de playbooks y recomendaciones de gobernanza de dominios.

Ventana de retrospectiva

7, 14, 30 días

Establece hasta qué punto en el pasado se evalúan los datos de actividad.

Asegúrate de asignar todos los roles requeridos a la identidad que ejecuta el agente antes de iniciar un análisis.

Consideraciones de seguridad y cumplimiento

  • Toda la comunicación con Microsoft Graph y las API de Defender se cifra mediante HTTPS y está protegida por servicios de identidad de Microsoft.

  • El agente cumple con principios de diseño de y privilegio mínimo Confianza cero.

  • Los permisos pueden revisarse o revocarse en cualquier momento a través de Microsoft Entra la administración de roles o la configuración de consentimiento.

  • El agente no realiza operaciones de escritura ni de configuración, lo que garantiza la seguridad operativa y la integridad del cumplimiento.

Próximos pasos

  1. Verifica que se hayan concedido a la cuenta de servicio o a la identidad administrada los roles y permisos de API necesarios.

  2. Revisa las políticas de gobernanza y asignación de roles de tu organización antes de la implementación.

  3. Configura el modo de análisis deseado (rápido, estándar, o profundo) en función del tamaño y la sensibilidad de tu entorno.

AnteriorDescripción generalSiguienteRegistro de cambios

Última actualización

¿Te fue útil?