Microsoft Sentinel MCP (préversion)
Cette collection d’outils du serveur MICROSOFT Sentinel MCP permet à vos playbooks de raisonner sur des données de sécurité complètes, ce qui permet une automatisation SOC puissante et flexible.
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Copilot Studio | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Applications logiques | Norme | Toutes les régions Logic Apps , à l’exception des suivantes : - Régions Azure Government - Régions Azure Chine - Us Department of Defense (DoD) |
| Power Apps | Premium | Toutes les régions Power Apps , à l’exception des suivantes : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Power Automate | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Contact | |
|---|---|
| Nom | Microsoft |
| URL | https://support.microsoft.com |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Microsoft |
| Site web | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Politique de confidentialité | https://privacy.microsoft.com |
| Catégories | Security |
Prerequisites
ID de l’espace de travail Sentinel
Opérations prises en charge
Entity Analyzer
Générez une évaluation des risques pour les entités (par exemple, url, utilisateur, etc.) en fonction de l’activité récente, de la prévalence et du renseignement sur les menaces associés à votre organisation.
Obtention des informations d’identification
Pour obtenir des explications détaillées sur les autorisations, consultez : https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. Cet outil nécessite un rôle de lecteur de sécurité. Les modes d’accès suivants sont pris en charge :
Entra Id
Exécutez des opérations pour le compte de l’utilisateur connecté.
Identité managée
Exécutez des opérations pour le compte de l’identité managée Logic Apps.
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Identités managées par applications logiques | Créer une connexion à l’aide d’une identité managée | LOGICAPPS uniquement | Impossible à partager |
| Microsoft Entra ID Intégré | Utiliser l’ID Microsoft Entra pour accéder à | Toutes les régions | Impossible à partager |
| Authentification du service principal | Utiliser votre application Microsoft Entra ID pour l’authentification du principal de service | Toutes les régions | Impossible à partager |
| Valeur par défaut [DÉCONSEILLÉE] | Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante. | Toutes les régions | Impossible à partager |
Identité managée Logic Apps
ID d’authentification : managedIdentityAuth
Applicable : LOGICAPPS uniquement
Créer une connexion à l’aide d’une identité managée
Ce n’est pas une connexion partageable. Si l’application Power est partagée avec un autre utilisateur, un autre utilisateur sera invité à créer explicitement une nouvelle connexion.
| Nom | Type | Descriptif | Obligatoire |
|---|---|---|---|
| Identité managée | managedIdentity | Se connecter avec une identité managée | Vrai |
Microsoft Entra ID Intégré
ID d’authentification : tokenBasedAuth
Applicable : Toutes les régions
Utiliser l’ID Microsoft Entra pour accéder à
Ce n’est pas une connexion partageable. Si l’application Power est partagée avec un autre utilisateur, un autre utilisateur sera invité à créer explicitement une nouvelle connexion.
Authentification d’un principal du service
ID d’authentification : servicePrincipalAuth
Applicable : Toutes les régions
Utiliser votre application Microsoft Entra ID pour l’authentification du principal de service
Ce n’est pas une connexion partageable. Si l’application Power est partagée avec un autre utilisateur, un autre utilisateur sera invité à créer explicitement une nouvelle connexion.
| Nom | Type | Descriptif | Obligatoire |
|---|---|---|---|
| ID de client | ficelle | Vrai | |
| Clé secrète client | securestring | Vrai | |
| ID du locataire | ficelle | Vrai |
Valeur par défaut [DÉCONSEILLÉE]
Applicable : Toutes les régions
Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante.
Ce n’est pas une connexion partageable. Si l’application Power est partagée avec un autre utilisateur, un autre utilisateur sera invité à créer explicitement une nouvelle connexion.
Limites de limitation
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Actions
| Entity Analyzer |
Générez une évaluation des risques pour les entités (par exemple, url, utilisateur, etc.) en fonction de l’activité récente, de la prévalence et du renseignement sur les menaces associés à votre organisation. |
| Microsoft Sentinel - Serveur MCP Exploration de données |
La collection d’outils d’exploration de données dans le serveur MCP (Microsoft Sentinel Model Context Protocol) vous permet de rechercher des tables pertinentes et de récupérer des données du lac de données de Microsoft Sentinel à l’aide du langage naturel. Pour en savoir plus: https://aka.ms/mcp/data-exploration |
Entity Analyzer
Générez une évaluation des risques pour les entités (par exemple, url, utilisateur, etc.) en fonction de l’activité récente, de la prévalence et du renseignement sur les menaces associés à votre organisation.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’espace de travail
|
workspaceId | True | uuid |
ID de l’espace de travail |
|
Regarder les jours précédents
|
lookBackDays | True | integer |
Nombre de jours à examiner pour l’analyse |
|
Propriétés
|
properties | True | object |
Propriétés |
Retourne
- response
- AnalyzeEntityResponse
Microsoft Sentinel - Serveur MCP Exploration de données
La collection d’outils d’exploration de données dans le serveur MCP (Microsoft Sentinel Model Context Protocol) vous permet de rechercher des tables pertinentes et de récupérer des données du lac de données de Microsoft Sentinel à l’aide du langage naturel. Pour en savoir plus: https://aka.ms/mcp/data-exploration
Définitions
AnalyzeEntityResponse
| Nom | Chemin | Type | Description |
|---|---|---|---|
|
Statut
|
status | string |
État de l’analyse. Les exemples de valeurs pour les URL sont « Running », « Completed » ou « Faulted ». |
|
Classification
|
classification | string |
Verdict de l’entité. Les exemples de valeurs pour les URL sont « Malveillants », « Suspects » ou « Inconnu ». |
|
Analyse
|
analysis | string |
Analyse associée à l’entité, fournissant une justification pour le verdict et un contexte supplémentaire en fonction de la prévalence et de l’activité dans votre organisation. |
|
Recommandation
|
recommendation | string |
Les étapes suivantes recommandées pour prendre en compte l’entité en fonction du verdict. |
|
Clause d’exclusion de responsabilité
|
disclaimer | string |
Remarques importantes sur l’entité et ses résultats d’analyse. |
|
Propriétés
|
properties | object |
Propriétés |
|
Liste des sources de données
|
dataSourceList | array of object |
Liste des sources de données |
|
items
|
dataSourceList | object |