Microsoft Sentinel MCP (Pré-visualização)
Esta coleção de ferramentas do servidor Microsoft Sentinel MCP permite que seus playbooks raciocinem sobre dados de segurança abrangentes, permitindo uma automação SOC poderosa e flexível.
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Estúdio Copiloto | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps , exceto as seguintes: - Regiões do Azure Government - Regiões do Azure China - Departamento de Defesa dos EUA (DoD) |
| Aplicações Power | Premium | Todas as regiões do Power Apps , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Automatize o poder | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL | https://support.microsoft.com |
| Metadados do conector | |
|---|---|
| Editora | Microsoft |
| Sítio Web | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Política de privacidade | https://privacy.microsoft.com |
| Categorias | Segurança |
Pré-requisitos
ID do Espaço de Trabalho Sentinel
Operações suportadas
Analisador de entidades
Gere uma avaliação de risco para entidades (por exemplo, URL, utilizador, etc.) com base na atividade recente da sua organização, prevalência e inteligência de ameaças associada.
Obtenção de credenciais
Para uma explicação detalhada sobre permissões, por favor veja: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. Esta ferramenta requer o papel do leitor de segurança. São suportados os seguintes modos de acesso:
Entra Id
Execute operações em nome do usuário conectado.
Identidade gerenciada
Execute operações em nome da identidade gerenciada dos Aplicativos Lógicos.
Criando uma conexão
O conector suporta os seguintes tipos de autenticação:
| Identidade gerenciada de aplicativos lógicos | Criar uma conexão usando uma identidade gerenciada | Apenas LOGICAPPS | Não compartilhável |
| Microsoft Entra ID Integrado | Use o Microsoft Entra ID para acessar | Todas as regiões | Não compartilhável |
| Autenticação do principal de serviço | Usar seu aplicativo Microsoft Entra ID para autenticação da entidade de serviço | Todas as regiões | Não compartilhável |
| Padrão [DEPRECATED] | Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores. | Todas as regiões | Não compartilhável |
Identidade gerenciada de aplicativos lógicos
ID de autenticação: managedIdentityAuth
Aplicável: apenas LOGICAPPS
Criar uma conexão usando uma identidade gerenciada
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| Identidade gerenciada | managedIdentity | Iniciar sessão com uma Identidade Gerida | Verdade |
Microsoft Entra ID Integrado
ID de autenticação: tokenBasedAuth
Aplicável: Todas as regiões
Use o Microsoft Entra ID para acessar
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Autenticação do Service Principal
ID de autenticação: servicePrincipalAuth
Aplicável: Todas as regiões
Usar seu aplicativo Microsoft Entra ID para autenticação da entidade de serviço
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| ID do Cliente | cadeia (de caracteres) | Verdade | |
| Segredo do cliente | securestring | Verdade | |
| ID do inquilino | cadeia (de caracteres) | Verdade |
Padrão [DEPRECATED]
Aplicável: Todas as regiões
Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Ações
| Analisador de entidades |
Gere uma avaliação de risco para entidades (por exemplo, URL, utilizador, etc.) com base na atividade recente da sua organização, prevalência e inteligência de ameaças associada. |
| Microsoft Sentinel - Servidor MCP de Exploração de Dados |
A coleta de ferramentas de exploração de dados no servidor MCP (Microsoft Sentinel Model Context Protocol) permite pesquisar tabelas relevantes e recuperar dados do data lake do Microsoft Sentinel usando linguagem natural. Saiba mais: https://aka.ms/mcp/data-exploration |
Analisador de entidades
Gere uma avaliação de risco para entidades (por exemplo, URL, utilizador, etc.) com base na atividade recente da sua organização, prevalência e inteligência de ameaças associada.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do espaço de trabalho
|
workspaceId | True | uuid |
ID do espaço de trabalho |
|
Dias de Olhar para Trás
|
lookBackDays | True | integer |
Número de dias para olhar para trás para análise |
|
Propriedades
|
properties | True | object |
Propriedades |
Devoluções
- response
- AnalyzeEntityResponse
Microsoft Sentinel - Servidor MCP de Exploração de Dados
A coleta de ferramentas de exploração de dados no servidor MCP (Microsoft Sentinel Model Context Protocol) permite pesquisar tabelas relevantes e recuperar dados do data lake do Microsoft Sentinel usando linguagem natural. Saiba mais: https://aka.ms/mcp/data-exploration
Definições
AnalyzeEntityResponse
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Situação
|
status | string |
O estado da análise. Exemplos de valores para URLs são "Em Execução", "Concluído" ou "Falhado". |
|
Classification
|
classification | string |
O veredicto da entidade. Exemplos de valores para URLs são "Malicious", "Suspectous" ou "Unknown". |
|
Analysis
|
analysis | string |
A análise associada à entidade, fornecendo justificação para o veredicto e contexto adicional com base na prevalência e atividade na sua organização. |
|
Recommendation
|
recommendation | string |
Os próximos passos recomendados a tomar com a entidade, dado o veredicto. |
|
Disclaimer
|
disclaimer | string |
Notas importantes sobre a entidade e os seus resultados de análise. |
|
Propriedades
|
properties | object |
Propriedades |
|
Lista de Fontes de Dados
|
dataSourceList | array of object |
Lista de Fontes de Dados |
|
items
|
dataSourceList | object |