Traducción automática con inteligencia artificial; puede contener errores o imprecisiones.
Ctrlk
Go to glueckkanja Website

Permisos

Descripción general

Esta página describe los permisos y el modelo de acceso para este agente. El agente utiliza acceso de solo lectura a datos de incidentes de seguridad, alertas, dispositivos y riesgo de identidad a través de Security Copilot Plugins. Está diseñado para ayudar con investigaciones forenses y de amenazas en Microsoft Defender XDR mediante el análisis de incidentes, la correlación de contexto y el enriquecimiento de resultados con fuentes externas de inteligencia.

Cómo funciona

El agente se conecta de forma segura a tu entorno de Microsoft Defender XDR a través de Security Copilot Plugins para recopilar detalles de incidentes, alertas, resultados de advanced hunting y datos de entidades relacionadas. Luego enriquece estos hallazgos con inteligencia de amenazas externa para generar una vista unificada de investigación.

Todas las interacciones siguen estos principios:

  • Acceso de solo lectura: El agente no modifica, resuelve ni elimina incidentes o alertas.

  • Privilegio mínimo: Solo se requieren los roles necesarios para leer datos de incidentes y amenazas.

  • Transparencia: Todo el acceso a los datos es auditable en Microsoft Entra y sigue los controles estándar de seguridad y cumplimiento.

Roles de Microsoft Entra ID requeridos

Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:

Rol
Descripción

Lector de seguridad

Proporciona acceso de solo lectura a incidentes, alertas y datos de investigación de Defender XDR.

Lector global

Concede acceso de solo lectura a través de los servicios de Microsoft 365 para la correlación y el contexto entre dominios.

Roles opcionales para un análisis mejorado

Rol
Descripción

Security Administrator

Permite la ejecución de consultas de advanced hunting y una correlación de datos más profunda dentro de Defender XDR.

Asignar Security Administrator habilita las capacidades de advanced hunting, pero no es necesario para el análisis estándar.

Transparencia en el acceso a los datos

La siguiente tabla describe a qué datos puede acceder el agente y con qué propósito.

Tipo de datos
Nivel de acceso
Propósito

Incidentes de seguridad y alertas

Solo lectura

Para investigar y correlacionar alertas, identificar causas raíz y evaluar el impacto.

Datos de advanced hunting

Solo lectura

Para realizar análisis de patrones y comportamiento en entidades y telemetría.

Datos de dispositivos y endpoints

Solo lectura

Para vincular alertas con dispositivos, procesos y actividad de red.

Datos de riesgo de identidad

Solo lectura

Para analizar el comportamiento de los usuarios y correlacionar incidentes con un posible compromiso de identidad.

Indicadores externos de inteligencia de amenazas

Solo lectura

Para enriquecer alertas y entidades con información contextual de riesgo.

Manejo de datos:

  • El agente no modifica ni exporta datos de clientes fuera del límite del tenant.

  • Todo el acceso está limitado a Security Copilot Plugins mediante permisos delegados o a nivel de aplicación.

  • La actividad de acceso se registra en registros de auditoría de Microsoft Entra para fines de cumplimiento y trazabilidad.

Uso del agente

Al ejecutar el agente, proporciona la entrada requerida para analizar incidentes o generar resúmenes de investigación.

Tipo de entrada
Descripción
Ejemplo

Obligatorio

ID del incidente

"Analizar el incidente 12345"

Opcional

Parámetros adicionales para el contexto

"Generar informe forense para el ID de incidente 67890"

Opcional

Modo de análisis profundo o resumen

"Profundizar en el incidente 45678"

Los ID de incidente se pueden encontrar en el portal de Microsoft 365 Defender en: Incidents & alerts → Incidents.

Servicios externos de inteligencia de amenazas

El agente enriquece automáticamente los indicadores usando los siguientes servicios externos; no se requiere configuración ni claves de API:

Servicio
Propósito

Shodan

Escaneo de puertos, detección de servicios y descubrimiento de vulnerabilidades.

Análisis de SSL/TLS

Inspección y validación de metadatos del certificado.

Servicios WHOIS

Consulta de registro y titularidad de dominios.

CIRCL

Consultas de hash de malware y comprobaciones de reputación de archivos.

Servicios de reputación de IP/dominio

Puntuación y evaluación contextual del riesgo para indicadores externos.

Estos servicios se consultan automáticamente como parte de cada análisis para mejorar el contexto de detección y la precisión de la investigación.

Consideraciones de seguridad y cumplimiento

  • Toda la comunicación a través de Security Copilot Plugins está cifrada mediante HTTPS y autenticada a través de los servicios de identidad de Microsoft.

  • El agente se adhiere a los principios de Microsoft de confianza cero y privilegio mínimo .

  • El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o administración del consentimiento de aplicaciones.

Próximos pasos

  • Verifica que la cuenta de administrador tenga asignados los roles necesarios.

  • Asegúrate de que Defender XDR y las fuentes de telemetría relacionadas estén activas y contengan datos recientes de incidentes.

  • Revisa los resultados de la investigación dentro de Security Copilot para obtener recomendaciones contextuales.

AnteriorDescripción generalSiguienteRegistro de cambios

Última actualización

¿Te fue útil?