MCP do Microsoft Sentinel (versão prévia)
Essa coleção de ferramentas do servidor MCP do Microsoft Sentinel permite que seus guias estratégicos raciocinam sobre dados de segurança abrangentes, permitindo automação SOC avançada e flexível.
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas as regiões do Power Automate , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Aplicativos Lógicos | Standard | Todas as regiões dos Aplicativos Lógicos , exceto as seguintes: – Regiões do Azure Governamental - Regiões do Azure China - Departamento de Defesa dos EUA (DoD) |
| Power Apps | Premium | Todas as regiões do Power Apps , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Power Automate | Premium | Todas as regiões do Power Automate , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL | https://support.microsoft.com |
| Metadados do conector | |
|---|---|
| Publicador | Microsoft |
| Local na rede Internet | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Política de privacidade | https://privacy.microsoft.com |
| Categorias | Segurança |
Pré-requisitos
ID do Workspace do Sentinel
Operações com suporte
Analisador de Entidade
Gere uma avaliação de risco para entidades (por exemplo, url, usuário, etc.) com base na atividade, prevalência e inteligência de ameaças associadas da sua organização.
Obtendo credenciais
Para obter uma explicação detalhada sobre permissões, consulte: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. Essa ferramenta requer a função leitor de segurança. Há suporte para os seguintes modos de acesso:
Entra Id
Execute operações em nome do usuário conectado.
Identidade Gerenciada
Execute operações em nome da identidade gerenciada dos Aplicativos Lógicos.
Criando uma conexão
O conector dá suporte aos seguintes tipos de autenticação:
| Identidades gerenciadas de Aplicativos Lógicos | Criar uma conexão usando uma Identidade Gerenciada | Somente LOGICAPPS | Não compartilhável |
| Microsoft Entra ID Integrado | Usar a ID do Microsoft Entra para acessar | Todas as regiões | Não compartilhável |
| Autenticação de entidade de serviço | Usar seu aplicativo Microsoft Entra ID para autenticação de entidade de serviço | Todas as regiões | Não compartilhável |
| Padrão [PRETERIDO] | Essa opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores. | Todas as regiões | Não compartilhável |
Identidade Gerenciada de Aplicativos Lógicos
ID de autenticação: managedIdentityAuth
Aplicável: somente LOGICAPPS
Criar uma conexão usando uma Identidade Gerenciada
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| Identidade Gerenciada | managedIdentity | Entrar com uma identidade gerenciada | Verdade |
Microsoft Entra ID Integrado
ID de autenticação: tokenBasedAuth
Aplicável: todas as regiões
Usar a ID do Microsoft Entra para acessar
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Autenticação da entidade de serviço
ID de autenticação: servicePrincipalAuth
Aplicável: todas as regiões
Usar seu aplicativo Microsoft Entra ID para autenticação de entidade de serviço
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| ID do cliente | cadeia | Verdade | |
| Segredo do cliente | secureString | Verdade | |
| ID do locatário | cadeia | Verdade |
Padrão [PRETERIDO]
Aplicável: todas as regiões
Essa opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 100 | 60 segundos |
Ações
| Analisador de Entidade |
Gere uma avaliação de risco para entidades (por exemplo, url, usuário, etc.) com base na atividade, prevalência e inteligência de ameaças associadas da sua organização. |
| Microsoft Sentinel – Servidor MCP de Exploração de Dados |
A coleção de ferramentas de exploração de dados no servidor MCP (Protocolo de Contexto de Modelo) do Microsoft Sentinel permite que você pesquise tabelas relevantes e recupere dados do data lake do Microsoft Sentinel usando linguagem natural. Saiba mais: https://aka.ms/mcp/data-exploration |
Analisador de Entidade
Gere uma avaliação de risco para entidades (por exemplo, url, usuário, etc.) com base na atividade, prevalência e inteligência de ameaças associadas da sua organização.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Workspace Id
|
workspaceId | True | uuid |
Workspace Id |
|
Dias de Olhar para Trás
|
lookBackDays | True | integer |
Número de dias para olhar para trás para análise |
|
Propriedades
|
properties | True | object |
Propriedades |
Retornos
- response
- AnalyzeEntityResponse
Microsoft Sentinel – Servidor MCP de Exploração de Dados
A coleção de ferramentas de exploração de dados no servidor MCP (Protocolo de Contexto de Modelo) do Microsoft Sentinel permite que você pesquise tabelas relevantes e recupere dados do data lake do Microsoft Sentinel usando linguagem natural. Saiba mais: https://aka.ms/mcp/data-exploration
Definições
AnalyzeEntityResponse
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Situação
|
status | string |
O status da análise. Os valores de exemplo para urls são "Executando", "Concluído" ou "Com Falha". |
|
Classification
|
classification | string |
O veredicto da entidade. Os valores de exemplo para urls são "Mal-intencionado", "suspeito" ou "desconhecido". |
|
Temo de
|
analysis | string |
A análise associada à entidade, fornecendo justificativa para o veredito e contexto adicional com base na prevalência e na atividade em sua organização. |
|
Recomendação
|
recommendation | string |
As próximas etapas recomendadas para tomar sobre a entidade dado o veredicto. |
|
Disclaimer
|
disclaimer | string |
Notas importantes sobre a entidade e seus resultados de análise. |
|
Propriedades
|
properties | object |
O tipo de entidade inserida |
|
Lista de Fontes de Dados
|
dataSourceList | array of string |
Lista de fontes de dados usadas na análise |