> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/es/agents/insider-risk-profiler/overview.md).

# Descripción general

> **Estimación de costo de SCU**\
> Este agente normalmente consume **0,2 – 1,5 SCU por ejecución de análisis**, según el número de alertas de Microsoft Purview Insider Risk Management (IRM) y la profundidad del enriquecimiento (modo Quick, Standard o Deep). Los entornos más grandes con altos volúmenes de alertas o ventanas de búsqueda retrospectiva extendidas pueden consumir más SCU.

### Introducción

**Perfilador de riesgo interno** ayuda a los equipos de seguridad a centrarse en lo que realmente importa al convertir las alertas ruidosas de riesgo interno en inteligencia accionable. En lugar de correlacionar manualmente señales en Purview, Defender y Entra, el agente crea un perfil de riesgo unificado que destaca qué alertas plantean amenazas internas reales y por qué.

Enriquece automáticamente las alertas de IRM con señales de riesgo de identidad, cumplimiento del dispositivo y protección de datos, creando una cola priorizada con puntuaciones claras y narrativas contextuales. El resultado: una clasificación inicial más rápida, menos falsos positivos y decisiones de remediación seguras.

<figure><img src="/files/2c4319a98e28f42ee52433d7c6f57f9d9b963dfa" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/2c4319a98e28f42ee52433d7c6f57f9d9b963dfa" alt=""><figcaption></figcaption></figure> <figure><img src="/files/d06d849f53376e81fd8a02d360994fb02f33153b" alt=""><figcaption></figcaption></figure> <figure><img src="/files/fa4e42a3081dd2abf9a2f12ed5f9e898215a4cc2" alt=""><figcaption></figcaption></figure> <figure><img src="/files/77564f74bf0b289fb3cc638b37f94e8835614593" alt=""><figcaption></figcaption></figure></div>

***

### Qué hace

* Enriquece las alertas de Microsoft Purview Insider Risk con telemetría de identidad, dispositivo y actividad de Defender
* Prioriza las alertas en función de una puntuación compuesta (identidad, actividad y riesgo de datos)
* Reduce la fatiga por alertas al resaltar factores de riesgo explicables y conocimientos sobre el ajuste de políticas
* Correlaciona el comportamiento en actividades de correo electrónico, archivos y la nube para revelar patrones de exfiltración
* Marca las lagunas de enriquecimiento y sugiere mejoras en la cobertura de telemetría
* Proporciona plantillas predefinidas de investigación y notificación para una respuesta rápida

***

### Casos de uso

#### 1. **Centrarse en las alertas correctas**

Pueden aparecer cientos de alertas de IRM al día, pero no todas merecen la misma atención. Insider Risk Profiler aplica una lógica de puntuación transparente, mostrando alertas de alta prioridad que involucran usuarios de riesgo, cuentas comprometidas o exposición de datos sensibles. Los analistas saben al instante qué investigar primero.

#### 2. **Acelerar las investigaciones**

La clasificación inicial tradicional de IRM requiere saltar entre varios portales y fuentes de datos. Este agente consolida los datos de identidad, actividad y DLP en una línea de tiempo de comportamiento unificada. Los analistas ven qué ocurrió, cuándo y por qué importa, lo que ahorra horas de correlación manual.

#### 3. **Reducir el ruido y la fatiga por alertas**

Las políticas demasiado amplias suelen generar falsos positivos. Insider Risk Profiler identifica patrones benignos o de bajo impacto, recomienda ajustes de afinación de políticas y resalta fuentes de alertas redundantes, lo que permite que su equipo se centre en las verdaderas amenazas internas.

#### 4. **Mejorar la confianza y la transparencia**

Los líderes de seguridad a menudo preguntan: *¿Por qué esta alerta tiene alta prioridad?* El agente explica la puntuación enumerando factores contribuyentes como inicios de sesión recientes fuera del horario laboral, infracciones de DLP o intentos fallidos de autenticación. Esto mejora la confianza en la automatización y en los modelos de puntuación.

#### 5. **Estandarizar la respuesta y la comunicación**

Desde las notas del analista hasta las notificaciones al usuario o al administrador, el agente genera plantillas de respuesta estructuradas con un tono coherente y una redacción legal, garantizando que cada incidente se gestione con rapidez y de forma conforme.

***

### ¿Por qué Insider Risk Profiler?

#### Problemas que resuelve

* El alto volumen de alertas dificulta ver el riesgo real
* La puntuación de alertas carece de transparencia y capacidad de explicación
* Las reglas redundantes o ruidosas desperdician tiempo del analista
* El contexto de las secuencias de comportamiento (recopilación → exfiltración) está fragmentado
* La comunicación de respuesta es lenta e inconsistente

#### Beneficios que obtiene

* Cola de alertas explicable y priorizada con factores de puntuación claros
* Recomendaciones de optimización de políticas para reducir las alertas benignas
* Línea de tiempo de comportamiento condensada que vincula señales de riesgo entre fuentes
* Plantillas de comunicación estandarizadas y listas para usar
* Análisis claro de lagunas de enriquecimiento para mejorar la cobertura de telemetría

***

### Cómo funciona

#### Qué entra

* Alertas y metadatos de Microsoft Purview Insider Risk
* Señales de riesgo de identidad y dispositivo de Microsoft Defender
* Telemetría de actividad de aplicaciones en la nube, correo electrónico y archivos
* Eventos de infracción de DLP y anomalías de comportamiento
* Contexto de directorio de usuario y grupo (Entra ID)

#### Qué hace

* Correlaciona alertas con señales de identidad, dispositivo y datos
* Enriquece la actividad del usuario a través de múltiples fuentes de telemetría
* Calcula puntuaciones de riesgo multidimensionales (Identidad 40 %, Actividad 30 %, Datos 30 %)
* Asigna alertas a bandas de prioridad (Crítica, Alta, Media, Baja)
* Genera una narrativa estructurada de clasificación inicial y pasos de remediación recomendados

#### Qué obtiene

* Resumen ejecutivo con alertas priorizadas y distribución de puntuaciones
* Cola de las 10 alertas priorizadas principales con factores clave
* Sugerencias de ajuste de políticas y mejora del enriquecimiento
* Orientación estructurada para la remediación y plantillas de respuesta
* Informe de clasificación inicial exportable para fines de documentación o auditoría


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/es/agents/insider-risk-profiler/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.