> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/es/agents/forensic-agent-core/permissions.md). # Permisos ### Descripción general Esta página describe los permisos y el modelo de acceso para este agente.\ El agente utiliza **acceso de solo lectura** a datos de incidentes de seguridad, alertas, dispositivos y riesgo de identidad a través de **Security Copilot Plugins**.\ Está diseñado para ayudar con investigaciones forenses y de amenazas en Microsoft Defender XDR mediante el análisis de incidentes, la correlación de contexto y el enriquecimiento de resultados con fuentes externas de inteligencia. *** ### Cómo funciona El agente se conecta de forma segura a tu entorno de Microsoft Defender XDR a través de Security Copilot Plugins para recopilar detalles de incidentes, alertas, resultados de advanced hunting y datos de entidades relacionadas.\ Luego enriquece estos hallazgos con inteligencia de amenazas externa para generar una vista unificada de investigación. Todas las interacciones siguen estos principios: * **Acceso de solo lectura:** El agente no modifica, resuelve ni elimina incidentes o alertas. * **Privilegio mínimo:** Solo se requieren los roles necesarios para leer datos de incidentes y amenazas. * **Transparencia:** Todo el acceso a los datos es auditable en Microsoft Entra y sigue los controles estándar de seguridad y cumplimiento. *** ### Roles de Microsoft Entra ID requeridos Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente: | Rol | Descripción | | ----------------------- | --------------------------------------------------------------------------------------------------------------------------- | | **Lector de seguridad** | Proporciona acceso de solo lectura a incidentes, alertas y datos de investigación de Defender XDR. | | **Lector global** | Concede acceso de solo lectura a través de los servicios de Microsoft 365 para la correlación y el contexto entre dominios. | #### Roles opcionales para un análisis mejorado | Rol | Descripción | | -------------------------- | --------------------------------------------------------------------------------------------------------------------- | | **Security Administrator** | Permite la ejecución de consultas de advanced hunting y una correlación de datos más profunda dentro de Defender XDR. | {% hint style="info" %} Asignar **Security Administrator** habilita las capacidades de advanced hunting, pero no es necesario para el análisis estándar. {% endhint %} *** ### Transparencia en el acceso a los datos La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito. | Tipo de datos | Nivel de acceso | Propósito | | ---------------------------------------------------- | --------------- | ------------------------------------------------------------------------------------------------------------------ | | **Incidentes de seguridad y alertas** | Solo lectura | Para investigar y correlacionar alertas, identificar causas raíz y evaluar el impacto. | | **Datos de advanced hunting** | Solo lectura | Para realizar análisis de patrones y comportamiento en entidades y telemetría. | | **Datos de dispositivos y endpoints** | Solo lectura | Para vincular alertas con dispositivos, procesos y actividad de red. | | **Datos de riesgo de identidad** | Solo lectura | Para analizar el comportamiento de los usuarios y correlacionar incidentes con un posible compromiso de identidad. | | **Indicadores externos de inteligencia de amenazas** | Solo lectura | Para enriquecer alertas y entidades con información contextual de riesgo. | **Manejo de datos:** * El agente **no** modifica ni exporta datos de clientes fuera del límite del tenant. * Todo el acceso está limitado a **Security Copilot Plugins** mediante permisos delegados o a nivel de aplicación. * La actividad de acceso se registra en **registros de auditoría de Microsoft Entra** para fines de cumplimiento y trazabilidad. *** ### Uso del agente Al ejecutar el agente, proporciona la entrada requerida para analizar incidentes o generar resúmenes de investigación. | Tipo de entrada | Descripción | Ejemplo | | --------------- | --------------------------------------- | --------------------------------------------------------- | | **Obligatorio** | ID del incidente | `"Analizar el incidente 12345"` | | **Opcional** | Parámetros adicionales para el contexto | `"Generar informe forense para el ID de incidente 67890"` | | **Opcional** | Modo de análisis profundo o resumen | `"Profundizar en el incidente 45678"` | Los ID de incidente se pueden encontrar en el **portal de Microsoft 365 Defender** en:\ **Incidents & alerts → Incidents.** *** ### Servicios externos de inteligencia de amenazas El agente enriquece automáticamente los indicadores usando los siguientes servicios externos; no se requiere configuración ni claves de API: | Servicio | Propósito | | ----------------------------------------- | -------------------------------------------------------------------------------- | | **Shodan** | Escaneo de puertos, detección de servicios y descubrimiento de vulnerabilidades. | | **Análisis de SSL/TLS** | Inspección y validación de metadatos del certificado. | | **Servicios WHOIS** | Consulta de registro y titularidad de dominios. | | **CIRCL** | Consultas de hash de malware y comprobaciones de reputación de archivos. | | **Servicios de reputación de IP/dominio** | Puntuación y evaluación contextual del riesgo para indicadores externos. | Estos servicios se consultan automáticamente como parte de cada análisis para mejorar el contexto de detección y la precisión de la investigación. *** ### Consideraciones de seguridad y cumplimiento * Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft. * El agente se adhiere a los principios de Microsoft de **confianza cero** y **privilegio mínimo** . * El acceso puede revisarse o revocarse en cualquier momento a través de **asignaciones de roles de Entra ID** o **administración del consentimiento de aplicaciones**. *** ### Próximos pasos * Verifica que la cuenta de administrador tenga asignados los roles necesarios. * Asegúrate de que Defender XDR y las fuentes de telemetría relacionadas estén activas y contengan datos recientes de incidentes. * Revisa los resultados de la investigación dentro de Security Copilot para obtener recomendaciones contextuales. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://agents.glueckkanja.com/es/agents/forensic-agent-core/permissions.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.