Permisos
Descripción general
Esta página describe los permisos y el modelo de acceso para el Perfilador de riesgo interno. El agente usa acceso de solo lectura para acceder a datos de Microsoft Purview Insider Risk Management, Microsoft Defender y Microsoft Entra ID a través de API de Microsoft Graph y Security Copilot Pluginsdocumentadas. Está diseñado para analizar alertas de riesgo interno, niveles de riesgo de los usuarios, cumplimiento de dispositivos y eventos de DLP sin realizar ninguna modificación en su entorno.
Cómo funciona
El agente se conecta de forma segura a Microsoft Purview y Defender para recopilar alertas de Insider Risk Management (IRM), señales de riesgo de identidad y telemetría de comportamiento en múltiples fuentes de actividad, como correo electrónico, aplicaciones en la nube y operaciones con archivos. Enriquece las alertas con datos contextuales de Defender y Entra ID, calcula una puntuación de riesgo compuesta y genera una cola priorizada con recomendaciones para la investigación y la remediación.
Todas las operaciones siguen estos principios básicos:
Acceso de solo lectura: El agente no modifica ni elimina ningún dato.
Privilegio mínimo: Solo se solicitan los permisos mínimos necesarios para la correlación y el enriquecimiento.
Transparencia: Todo el acceso se realiza a través de endpoints documentados de Microsoft Graph y puede auditarse completamente mediante los registros de actividad de Microsoft Entra.
Roles requeridos de Entra ID y Purview
Asigne los siguientes roles y permisos a la cuenta de administrador o identidad administrada que ejecuta el agente:
Insider Risk Management Analyst
Proporciona acceso directo de solo lectura a las alertas de Insider Risk Management (IRM) dentro de Microsoft Purview.
Lector de seguridad
Otorga visibilidad de las alertas de seguridad, incidentes y señales de comportamiento en Defender y Sentinel.
Directory Reader
Permite el acceso de solo lectura a los metadatos de usuario y grupo de Entra ID para la correlación de alertas y la generación de informes.
Intune Reader (opcional)
Proporciona contexto sobre el cumplimiento del dispositivo al analizar alertas vinculadas a endpoints administrados.
Estos roles se adhieren al principio de privilegio mínimo y pueden delimitarse a conjuntos de datos o grupos específicos según sea necesario.
Transparencia en el acceso a los datos
La siguiente tabla describe las fuentes de datos a las que accede el agente y sus propósitos:
alertas de Insider Risk Management
Solo lectura
Para recuperar metadatos de alertas y generar colas de riesgo priorizadas.
alertas e incidentes de seguridad
Solo lectura
Para cruzar datos de Defender con fines de enriquecimiento contextual.
usuarios en riesgo y eventos de identidad
Solo lectura
Para evaluar indicadores de riesgo de identidad a nivel de usuario y la probabilidad de compromiso.
telemetría de Advanced Hunting
Solo lectura
Para analizar eventos de archivos, correo electrónico, nube y autenticación para la puntuación de comportamiento.
infracciones de la directiva de DLP
Solo lectura
Para detectar anomalías en el manejo de datos confidenciales y patrones de exfiltración.
postura y cumplimiento del dispositivo
Solo lectura (opcional)
Para enriquecer los perfiles de riesgo de los usuarios con información del estado del dispositivo.
datos de usuarios y grupos del directorio
Solo lectura
Para normalizar identidades de usuario, correlacionar asignaciones y mejorar la claridad de los informes.
Manejo de datos:
El agente nunca modifica, crea ni elimina registros.
Todo el procesamiento y enriquecimiento se realiza dentro del límite de su tenant de Microsoft 365.
El acceso a los datos se realiza mediante Microsoft Graph y complementos de Security Copilot con permisos delegados o de aplicación aprobados.
Cada evento de acceso se registra y se puede rastrear mediante los registros de auditoría de Microsoft Entra para cumplimiento.
Configuración del agente
El agente admite parámetros de configuración que controlan la profundidad del análisis, el ámbito del procesamiento y la estructura de salida:
Scope
alertas, usuarios, dispositivos, dlp
Define qué componentes de Insider Risk se incluyen en el análisis.
Modo
rápido, estándar, profundo
Determina la profundidad del enriquecimiento y la correlación.
• rápido – Triage básico de alertas utilizando factores clave de identidad y riesgo.
• estándar – Enriquecimiento y puntuación equilibrados en datos de identidad, actividad y DLP. (recomendado)
• profundo – Enriquecimiento completo de múltiples fuentes, incluyendo la postura del dispositivo y el análisis de anomalías.
Ventana de tiempo
7, 14, 30 días
Define cuán atrás en el tiempo se analizan las alertas y los eventos de riesgo.
Asegúrese de que la identidad o cuenta de administrador asignada tenga todos los roles y permisos de fuente de datos requeridos antes de iniciar un análisis.
Consideraciones de seguridad y cumplimiento
Toda la comunicación entre el agente, Microsoft Graph y las API de Defender está protegida mediante HTTPS y autenticada con servicios de identidad de Microsoft.
El agente se adhiere a los principios de Microsoft de principios de diseño de y privilegio mínimo Confianza cero.
Los permisos pueden revisarse, restringirse o revocarse en cualquier momento a través de asignaciones de roles de Microsoft Entra o administración del consentimiento de aplicaciones.
No se escribe ni modifica ningún dato durante el análisis, lo que garantiza una seguridad operativa completa e integridad de cumplimiento.
Próximos pasos
Confirme que los roles requeridos (Insider Risk Management Analyst, Security Reader y Directory Reader) estén asignados a la cuenta o identidad que ejecuta el agente.
Verifique el acceso a los datos de Microsoft Purview y Defender mediante permisos de Microsoft Graph.
Revise las políticas de gobierno de datos y asignación de roles de su organización antes de habilitar el agente en producción.
Última actualización
¿Te fue útil?