Microsoft Sentinel MCP (Vorschau)
Diese Sammlung von Tools vom Microsoft Sentinel MCP-Server ermöglicht Es Ihren Playbooks grund für umfassende Sicherheitsdaten, wodurch leistungsstarke und flexible SOC-Automatisierung ermöglicht wird.
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen mit Ausnahme der folgenden Bereiche: – Azure Government-Regionen - Azure China-Regionen - US Department of Defense (DoD) |
| Power Apps | Premium | Alle Power Apps-Regionen mit Ausnahme der folgenden: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Power Automate | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Kontakt | |
|---|---|
| Name | Microsoft |
| URL | https://support.microsoft.com |
| Connectormetadaten | |
|---|---|
| Herausgeber | Microsoft |
| Webseite | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Datenschutzrichtlinie | https://privacy.microsoft.com |
| Kategorien | Sicherheit |
Voraussetzungen
Sentinel Workspace-ID
Unterstützte Vorgänge
Entity Analyzer
Generieren Sie eine Risikobewertung für Entitäten (z. B. URL, Benutzer usw.), basierend auf der jüngsten Aktivität, Prävalenz und der zugehörigen Bedrohungserkennung Ihrer Organisation.
Abrufen von Anmeldeinformationen
Ausführliche Erläuterungen zu Berechtigungen finden Sie unter: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. Für dieses Tool ist die Rolle "Sicherheitsleseberechtigter" erforderlich. Die folgenden Zugriffsmodi werden unterstützt:
Entra-ID
Führen Sie Vorgänge im Auftrag des angemeldeten Benutzers aus.
Verwaltete Identität
Führen Sie Vorgänge im Auftrag von Logic Apps verwaltete Identität aus.
Erstellen einer Verbindung
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Verwaltete Logic Apps-Identität | Erstellen einer Verbindung mithilfe einer verwalteten Identität | NUR LOGICAPPS | Nicht teilbar |
| Microsoft Entra ID-integriert | Verwenden der Microsoft Entra-ID für den Zugriff | Alle Regionen | Nicht teilbar |
| Dienstprinzipalauthentifizierung | Verwenden Ihrer Microsoft Entra ID-Anwendung für die Dienstprinzipalauthentifizierung | Alle Regionen | Nicht teilbar |
| Standard [VERALTET] | Diese Option ist nur für ältere Verbindungen ohne expliziten Authentifizierungstyp vorgesehen und wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. | Alle Regionen | Nicht teilbar |
Verwaltete Identität von Logik-Apps
Auth-ID: managedIdentityAuth
Anwendbar: NUR LOGICAPPS
Erstellen einer Verbindung mithilfe einer verwalteten Identität
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Verwaltete Identität | managedIdentity | Anmelden mit einer verwalteten Identität | Richtig |
Microsoft Entra ID Integriert
Auth-ID: tokenBasedAuth
Anwendbar: Alle Regionen
Verwenden der Microsoft Entra-ID für den Zugriff
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
Dienstprinzipalauthentifizierung
Auth-ID: servicePrincipalAuth
Anwendbar: Alle Regionen
Verwenden Ihrer Microsoft Entra ID-Anwendung für die Dienstprinzipalauthentifizierung
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Kunden-ID | Schnur | Richtig | |
| Geheimer Clientschlüssel | securestring | Richtig | |
| Mieter-ID | Schnur | Richtig |
Standard [VERALTET]
Anwendbar: Alle Regionen
Diese Option ist nur für ältere Verbindungen ohne expliziten Authentifizierungstyp vorgesehen und wird nur aus Gründen der Abwärtskompatibilität bereitgestellt.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Entity Analyzer |
Generieren Sie eine Risikobewertung für Entitäten (z. B. URL, Benutzer usw.), basierend auf der jüngsten Aktivität, Prävalenz und der zugehörigen Bedrohungserkennung Ihrer Organisation. |
| Microsoft Sentinel – McP-Server zur Datenerkundung |
Mit der Sammlung von Datenerkundungstools im Microsoft Sentinel Model Context Protocol (MCP)-Server können Sie nach relevanten Tabellen suchen und Daten aus dem Data Lake von Microsoft Sentinel mithilfe natürlicher Sprache abrufen. Weitere Informationen: https://aka.ms/mcp/data-exploration |
Entity Analyzer
Generieren Sie eine Risikobewertung für Entitäten (z. B. URL, Benutzer usw.), basierend auf der jüngsten Aktivität, Prävalenz und der zugehörigen Bedrohungserkennung Ihrer Organisation.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Arbeitsbereichs-ID
|
workspaceId | True | uuid |
Arbeitsbereichs-ID |
|
Blick auf Tage zurück
|
lookBackDays | True | integer |
Anzahl der Tage, die nach einer Analyse gesucht werden sollen |
|
Eigenschaften
|
properties | True | object |
Eigenschaften |
Gibt zurück
- response
- AnalyzeEntityResponse
Microsoft Sentinel – McP-Server zur Datenerkundung
Mit der Sammlung von Datenerkundungstools im Microsoft Sentinel Model Context Protocol (MCP)-Server können Sie nach relevanten Tabellen suchen und Daten aus dem Data Lake von Microsoft Sentinel mithilfe natürlicher Sprache abrufen. Weitere Informationen: https://aka.ms/mcp/data-exploration
Definitionen
AnalyzeEntityResponse
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Der Status
|
status | string |
Der Status der Analyse. Beispielwerte für URLs sind "Running", "Completed" oder "Faulted". |
|
Klassifizierung
|
classification | string |
Die Bewertung der Entität. Beispielwerte für URLs sind "Böswillig", "Verdächtige" oder "Unbekannt". |
|
Analyse
|
analysis | string |
Die mit der Entität verknüpfte Analyse, die Begründung für die Bewertung und zusätzlichen Kontext basierend auf Prävalenz und Aktivität in Ihrer Organisation bereitstellt. |
|
Empfehlung
|
recommendation | string |
Die empfohlenen nächsten Schritte für die Entität im Rahmen der Bewertung. |
|
Verzichtserklärung
|
disclaimer | string |
Wichtige Hinweise zur Entität und deren Analyseergebnissen. |
|
Eigenschaften
|
properties | object |
Eigenschaften |
|
Datenquellenliste
|
dataSourceList | array of object |
Datenquellenliste |
|
items
|
dataSourceList | object |