> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/es/agents/insider-risk-profiler/permissions.md). # Permisos ### Descripción general Esta página describe los permisos y el modelo de acceso para el **Perfilador de riesgo interno**.\ El agente usa **acceso de solo lectura** para acceder a datos de Microsoft Purview Insider Risk Management, Microsoft Defender y Microsoft Entra ID a través de **API de Microsoft Graph** y **Security Copilot Plugins**documentadas.\ Está diseñado para analizar alertas de riesgo interno, niveles de riesgo de los usuarios, cumplimiento de dispositivos y eventos de DLP **sin realizar ninguna modificación** en su entorno. *** ### Cómo funciona El agente se conecta de forma segura a Microsoft Purview y Defender para recopilar **alertas de Insider Risk Management (IRM)**, señales de riesgo de identidad y telemetría de comportamiento en múltiples fuentes de actividad, como correo electrónico, aplicaciones en la nube y operaciones con archivos.\ Enriquece las alertas con datos contextuales de Defender y Entra ID, calcula una puntuación de riesgo compuesta y genera una cola priorizada con recomendaciones para la investigación y la remediación. Todas las operaciones siguen estos principios básicos: * **Acceso de solo lectura:** El agente no modifica ni elimina ningún dato. * **Privilegio mínimo:** Solo se solicitan los permisos mínimos necesarios para la correlación y el enriquecimiento. * **Transparencia:** Todo el acceso se realiza a través de endpoints documentados de Microsoft Graph y puede auditarse completamente mediante los registros de actividad de Microsoft Entra. *** ### Roles requeridos de Entra ID y Purview Asigne los siguientes roles y permisos a la cuenta de administrador o identidad administrada que ejecuta el agente: | Rol | Descripción | | ----------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- | | **Insider Risk Management Analyst** | Proporciona acceso directo de solo lectura a las alertas de Insider Risk Management (IRM) dentro de Microsoft Purview. | | **Lector de seguridad** | Otorga visibilidad de las alertas de seguridad, incidentes y señales de comportamiento en Defender y Sentinel. | | **Directory Reader** | Permite el acceso de solo lectura a los metadatos de usuario y grupo de Entra ID para la correlación de alertas y la generación de informes. | | **Intune Reader** *(opcional)* | Proporciona contexto sobre el cumplimiento del dispositivo al analizar alertas vinculadas a endpoints administrados. | Estos roles se adhieren al **principio de privilegio mínimo** y pueden delimitarse a conjuntos de datos o grupos específicos según sea necesario. *** ### Transparencia en el acceso a los datos La siguiente tabla describe las fuentes de datos a las que accede el agente y sus propósitos: | Tipo de datos | Nivel de acceso | Propósito | | ----------------------------------------- | ------------------------- | ----------------------------------------------------------------------------------------------------------------- | | alertas de Insider Risk Management | Solo lectura | Para recuperar metadatos de alertas y generar colas de riesgo priorizadas. | | alertas e incidentes de seguridad | Solo lectura | Para cruzar datos de Defender con fines de enriquecimiento contextual. | | usuarios en riesgo y eventos de identidad | Solo lectura | Para evaluar indicadores de riesgo de identidad a nivel de usuario y la probabilidad de compromiso. | | telemetría de Advanced Hunting | Solo lectura | Para analizar eventos de archivos, correo electrónico, nube y autenticación para la puntuación de comportamiento. | | infracciones de la directiva de DLP | Solo lectura | Para detectar anomalías en el manejo de datos confidenciales y patrones de exfiltración. | | postura y cumplimiento del dispositivo | Solo lectura *(opcional)* | Para enriquecer los perfiles de riesgo de los usuarios con información del estado del dispositivo. | | datos de usuarios y grupos del directorio | Solo lectura | Para normalizar identidades de usuario, correlacionar asignaciones y mejorar la claridad de los informes. | **Manejo de datos:** * El agente nunca modifica, crea ni elimina registros. * Todo el procesamiento y enriquecimiento se realiza dentro del límite de su tenant de Microsoft 365. * El acceso a los datos se realiza mediante Microsoft Graph y complementos de Security Copilot con permisos delegados o de aplicación aprobados. * Cada evento de acceso se registra y se puede rastrear mediante los registros de auditoría de Microsoft Entra para cumplimiento. *** ### Configuración del agente El agente admite parámetros de configuración que controlan la profundidad del análisis, el ámbito del procesamiento y la estructura de salida: | Configuración | Opciones | Descripción | | --------------------- | --------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------- | | **Scope** | `alertas`, `usuarios`, `dispositivos`, `dlp` | Define qué componentes de Insider Risk se incluyen en el análisis. | | **Modo** | `rápido`, `estándar`, `profundo` | Determina la profundidad del enriquecimiento y la correlación. | | | • **rápido** – Triage básico de alertas utilizando factores clave de identidad y riesgo. | | | | • **estándar** – Enriquecimiento y puntuación equilibrados en datos de identidad, actividad y DLP. *(recomendado)* | | | | • **profundo** – Enriquecimiento completo de múltiples fuentes, incluyendo la postura del dispositivo y el análisis de anomalías. | | | **Ventana de tiempo** | 7, 14, 30 días | Define cuán atrás en el tiempo se analizan las alertas y los eventos de riesgo. | Asegúrese de que la identidad o cuenta de administrador asignada tenga todos los roles y permisos de fuente de datos requeridos antes de iniciar un análisis. *** ### Consideraciones de seguridad y cumplimiento * Toda la comunicación entre el agente, Microsoft Graph y las API de Defender está protegida mediante **HTTPS** y autenticada con **servicios de identidad de Microsoft**. * El agente se adhiere a los principios de Microsoft de **principios de diseño de** y **privilegio mínimo** Confianza cero. * Los permisos pueden revisarse, restringirse o revocarse en cualquier momento a través de **asignaciones de roles de Microsoft Entra** o **administración del consentimiento de aplicaciones**. * No se escribe ni modifica ningún dato durante el análisis, lo que garantiza una seguridad operativa completa e integridad de cumplimiento. *** ### Próximos pasos 1. Confirme que los roles requeridos (Insider Risk Management Analyst, Security Reader y Directory Reader) estén asignados a la cuenta o identidad que ejecuta el agente. 2. Verifique el acceso a los datos de Microsoft Purview y Defender mediante permisos de Microsoft Graph. 3. Revise las políticas de gobierno de datos y asignación de roles de su organización antes de habilitar el agente en producción. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/es/agents/insider-risk-profiler/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.