Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird gezeigt, wie Sie die MCP-Sammlung (Model Context Protocol) von Microsoft Sentinel einrichten und nutzen können, um Abfragen in natürlicher Sprache auf Ihre Sicherheitsdaten zu ermöglichen. Sentinels Unterstützung für MCP ermöglicht Es Sicherheitsteams, KI in ihre Sicherheitsvorgänge zu integrieren, indem KI-Modelle auf standard weise auf Sicherheitsdaten zugreifen können.
Sentinels Sammlung von Sicherheitstools funktioniert mit mehreren Clients und Automatisierungsplattformen. Sie können diese Tools verwenden, um:
- Suchen nach relevanten Tabellen
- Daten abrufen
- Analysieren von Entitäten
- Erstellen Sie Security-Copilot-Agenten
- Sichtung von Vorfällen
- Suchen nach Bedrohungen
Voraussetzungen
Um den Microsoft Sentinel MCP-Server zu verwenden und auf seine Sammlung von Tools zuzugreifen, müssen Sie in mindestens eines der folgenden Produkte integriert sein:
- Microsoft Sentinel-Datensee
- Microsoft Sentinel im Microsoft Defender-Portal
- Microsoft Defender XDR oder Microsoft Defender für Endpunkt
Weitere Informationen zu den spezifischen Produktvoraussetzungen einer Toolsammlung finden Sie in den jeweiligen Artikeln.
Außerdem benötigen Sie die Rolle "Sicherheitsleser ", um sentinels Sammlung von MCP-Tools auflisten und aufrufen zu können. Mit der Triage-Toolsammlung können Sie jedes Tool verwenden, für das Ihre vorhandenen Berechtigungen Sie berechtigen.
Hinzufügen der Sammlung von MCP-Tools von Microsoft Sentinel
Weitere Informationen zum Hinzufügen der Sammlung von MCP-Tools von Microsoft Sentinel finden Sie in den Artikeln zu den folgenden KI-basierten Code-Editoren und Agent-Building-Plattformen:
Testen Sie die hinzugefügten Tools mit Beispiel-Eingabeaufforderungen
Nachdem Sie die Sammlung von Tools von Microsoft Sentinel hinzugefügt haben, verwenden Sie die folgenden Beispielaufforderungen, um mit Daten in Ihrem Microsoft Sentinel-Datensee zu interagieren.
- Suchen Sie die drei wichtigsten Benutzer, die gefährdet sind, und erläutern Sie, warum sie gefährdet sind.
- Finden Sie Anmeldefehler in den letzten 24 Stunden, und geben Sie mir eine kurze Zusammenfassung der wichtigsten Ergebnisse.
- Identifizieren Sie Geräte, die eine herausragende Anzahl ausgehender Netzwerkverbindungen angezeigt haben.
- Helfen Sie mir zu verstehen, ob die Benutzerobjekt-ID <> kompromittiert ist.
- Untersuchen Sie Benutzer mit einer Kennwort-Spray-Warnung in den letzten sieben Tagen, und teilen Sie mir mit, ob eine von ihnen kompromittiert ist.
- Suchen Sie alle URL-IOCs aus dem <Bericht> zur Bedrohungsanalyse, und analysieren Sie sie, um mir mitzuteilen, was Microsoft über sie weiß.
Um zu verstehen, wie Agents unsere Tools aufrufen, um diese Eingabeaufforderungen zu beantworten, lesen Sie , wie Microsoft Sentinel MCP-Tools zusammen mit Ihrem Agenten funktionieren.