MCP de Microsoft Sentinel (versión preliminar)
Esta colección de herramientas del servidor MCP de Microsoft Sentinel permite a los cuadernos de estrategias razonar sobre datos de seguridad completos, lo que permite una automatización soC eficaz y flexible.
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas las regiones de Power Automate excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps excepto las siguientes: - Regiones de Azure Government - Regiones de Azure China - Departamento de Defensa de EE. UU. (DoD) |
| Power Apps | Premium | Todas las regiones de Power Apps excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Power Automate | Premium | Todas las regiones de Power Automate excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Contacto | |
|---|---|
| Nombre | Microsoft |
| URL | https://support.microsoft.com |
| Metadatos del conector | |
|---|---|
| Publicador | Microsoft |
| Sitio web | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Directiva de privacidad | https://privacy.microsoft.com |
| Categorías | Security |
Prerrequisitos
Identificador del área de trabajo de Sentinel
Operaciones admitidas
Analizador de entidades
Genere una evaluación de riesgos para entidades (por ejemplo, url, usuario, etc.) en función de la actividad, prevalencia y inteligencia sobre amenazas asociada de su organización.
Obtención de credenciales
Para obtener una explicación detallada de los permisos, consulte: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. Esta herramienta requiere el rol Lector de seguridad. Se admiten los siguientes modos de acceso:
Id. de Entra
Ejecute operaciones en nombre del usuario que ha iniciado sesión.
Identidad administrada
Ejecute operaciones en nombre de la identidad administrada de Logic Apps.
Crear una conexión
El conector admite los siguientes tipos de autenticación:
| Identidad administrada de Logic Apps | Creación de una conexión mediante una identidad administrada | Solo LOGICAPPS | No se puede compartir |
| Microsoft Entra ID: integrado | Uso de Microsoft Entra ID para acceder | Todas las regiones | No se puede compartir |
| Autenticación de entidad de servicio | Uso de la aplicación microsoft Entra ID para la autenticación de la entidad de servicio | Todas las regiones | No se puede compartir |
| Valor predeterminado [EN DESUSO] | Esta opción solo es para conexiones anteriores sin un tipo de autenticación explícito y solo se proporciona para la compatibilidad con versiones anteriores. | Todas las regiones | No se puede compartir |
Identidad administrada de Logic Apps
Identificador de autenticación: managedIdentityAuth
Aplicable: SOLO LOGICAPPS
Creación de una conexión mediante una identidad administrada
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
| Nombre | Tipo | Description | Obligatorio |
|---|---|---|---|
| Identidad administrada | managedIdentity | Inicio de sesión con una identidad administrada | Cierto |
Microsoft Entra ID integrado
Identificador de autenticación: tokenBasedAuth
Aplicable: Todas las regiones
Uso de Microsoft Entra ID para acceder
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
Autenticación de entidad de servicio
Identificador de autenticación: servicePrincipalAuth
Aplicable: Todas las regiones
Uso de la aplicación microsoft Entra ID para la autenticación de la entidad de servicio
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
| Nombre | Tipo | Description | Obligatorio |
|---|---|---|---|
| Id. de cliente | cuerda / cadena | Cierto | |
| Secreto del cliente | securestring | Cierto | |
| Id. de inquilino | cuerda / cadena | Cierto |
Valor predeterminado [EN DESUSO]
Aplicable: Todas las regiones
Esta opción solo es para conexiones anteriores sin un tipo de autenticación explícito y solo se proporciona para la compatibilidad con versiones anteriores.
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 100 | 60 segundos |
Acciones
| Analizador de entidades |
Genere una evaluación de riesgos para entidades (por ejemplo, url, usuario, etc.) en función de la actividad, prevalencia y inteligencia sobre amenazas asociada de su organización. |
| Microsoft Sentinel: servidor MCP de exploración de datos |
La recopilación de herramientas de exploración de datos en el servidor de Protocolo de contexto de modelo (MCP) de Microsoft Sentinel permite buscar tablas pertinentes y recuperar datos del lago de datos de Microsoft Sentinel mediante lenguaje natural. Aprende más: https://aka.ms/mcp/data-exploration |
Analizador de entidades
Genere una evaluación de riesgos para entidades (por ejemplo, url, usuario, etc.) en función de la actividad, prevalencia y inteligencia sobre amenazas asociada de su organización.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. del área de trabajo
|
workspaceId | True | uuid |
Id. del área de trabajo |
|
Buscar días atrás
|
lookBackDays | True | integer |
Número de días que se van a buscar en el análisis |
|
Propiedades
|
properties | True | object |
Propiedades |
Devoluciones
- response
- AnalyzeEntityResponse
Microsoft Sentinel: servidor MCP de exploración de datos
La recopilación de herramientas de exploración de datos en el servidor de Protocolo de contexto de modelo (MCP) de Microsoft Sentinel permite buscar tablas pertinentes y recuperar datos del lago de datos de Microsoft Sentinel mediante lenguaje natural. Aprende más: https://aka.ms/mcp/data-exploration
Definiciones
AnalyzeEntityResponse
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Estado
|
status | string |
Estado del análisis. Los valores de ejemplo de las direcciones URL son "Running", "Completed" o "Faulted". |
|
Classification
|
classification | string |
El veredicto de la entidad. Los valores de ejemplo de las direcciones URL son "Malintencionado", "Sospechoso" o "Desconocido". |
|
Análisis
|
analysis | string |
El análisis asociado a la entidad, proporcionando justificación para el veredicto y contexto adicional en función de la prevalencia y la actividad en su organización. |
|
Recomendación
|
recommendation | string |
Los pasos siguientes recomendados para tomar en la entidad dada el veredicto. |
|
Aviso de declinación de responsabilidades
|
disclaimer | string |
Notas importantes sobre la entidad y sus resultados de análisis. |
|
Propiedades
|
properties | object |
Propiedades |
|
Lista de orígenes de datos
|
dataSourceList | array of object |
Lista de orígenes de datos |
|
items
|
dataSourceList | object |