你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel 模型上下文协议 (MCP) 服务器中的代理创建工具集,您可以创建高效的 Microsoft Security Copilot 代理。
先决条件
若要访问代理创建工具集合,必须具备以下先决条件:
- Microsoft Sentinel data lake
- 任何受支持的 AI 支持的代码编辑器和代理构建平台:
添加代理创建集合
若要添加代理创建集合,必须先设置Microsoft Sentinel 的统一 MCP 服务器接口。 按照分步说明执行兼容 AI 驱动的代码编辑器和代理构建平台。
代理创建集合托管在以下 URL 中:
https://sentinel.microsoft.com/mcp/security-copilot-agent-creation
添加代理创建工具后,可以使用以下示例提示在 Security Copilot 中创建复杂的代理工作流:
- 创建一个代理,该代理从 Microsoft Defender、Microsoft Purview 和 Microsoft Sentinel 事件生成全面的事件后报告;聚合事件摘要、详细见解、实体和警报;并提供可作的修正步骤。
代理创建集合中的工具
搜索工具 (search_for_tools)
此工具在安全 Copilot 中查找相关工具,包括技能、代理和 MCP 工具,可用于实现意向。
| 参数 | Required? | Description |
|---|---|---|
userQuery |
是的 | 用于查找相关工具的查询语句或问题描述(例如“Defender 事件详细信息”)。 |
启动代理创建 (start_agent_creation)
此工具创建新的安全 Copilot 会话以开始生成新代理。
| 参数 | Required? | Description |
|---|---|---|
userQuery |
是的 | 智能体的问题描述。 |
创建代理 (compose_agent)
该工具会迭代 Security Copilot 智能体 YAML 的编写。
| 参数 | Required? | Description |
|---|---|---|
sessionID |
是的 | 由工具 start_agent_creation 创建的 Copilot 安全会话标识符。 这不应是由此 search_for_tools创建的会话标识符。 |
userQuery |
是的 | 供工具处理的用户输入。 这可能是确认、澄清或其他信息。 |
existingDefinition |
否 | 供该工具编辑的可选现有智能体定义 YAML。 这可以通过此工具的上一次运行或通过将 YAML 文件添加到上下文来生成。 |
获取评估结果(get_evaluation)
运行search_for_tools、start_agent_creation和compose_agent工具后调用此工具以检索结果。
| 参数 | Required? | Description |
|---|---|---|
sessionID |
是的 | 评估的会话标识符 |
promptID |
是的 | 评估的提示标识符 |
evaluationID |
是的 | 评估的标识符 |
部署代理 (deploy_agent)
此工具将代理上传到“Security Copilot”用户或工作区的范围。
| 参数 | Required? | Description |
|---|---|---|
agentDefinition |
是的 | YAML 格式的代理定义。 这可通过 compose_agent 工具来生成,或通过将 YAML 文件添加到上下文来提供。 |
scope |
是的 | 将智能体上传到的范围。 这只能是 User 或 Workspace。 |
agentSkillsetName |
是的 | 代理技能集名称。 这必须与代理定义 YAML 中的Name下的值完全匹配。 |