你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
这些与预发行产品相关的信息在发布前可能进行重大修改。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
使用 Microsoft Sentinel 的模型上下文协议 (MCP) 工具集合构建的安全代理可以有效地推理Microsoft Sentinel 中的数据。 可以创建自定义 Sentinel MCP 工具,对安全代理可访问的数据进行精细控制,并创建确定性的代理工作流。
本文介绍如何通过创建自定义 MCP 工具,使代理能够从已保存的 Kusto 查询语言 (KQL) 查询库中检索知识,并在高级搜寻和 Sentinel 数据湖中进行推理。
先决条件
若要创建自定义Microsoft Sentinel MCP 工具,需要满足以下先决条件:
- Microsoft Sentinel data lake 和 Microsoft Defender 许可证
- 用于创建、更新或删除自定义工具的安全操作员、安全管理员或全局管理员角色
- 安全读取者或全局读取者角色用于列出和调用自定义工具
使用 KQL 查询创建自定义工具
在 Microsoft Defender 门户和 Microsoft Sentinel data lake 中使用高级搜寻查询和 KQL 查询来查找和发现可在代理工作流中使用的安全数据。 通过此方法,可以控制代理可以推理的信息类型和数量。 验证查询是否成功检索到您希望代理进行推理的数据后,请将其保存为自定义 MCP 工具。
若要将 KQL 查询另存为 MCP 工具,请执行以下步骤:
在 Microsoft Defender 的高级 搜寻 页中,从手动创作的 KQL 查询或保存的查询库中查找和发现要在代理流中使用的安全数据,然后在查询窗口中打开它。
在以下任意 Defender 门户的体验中选择“保存为工具”:
查询的上下文菜单
KQL 查询框的查询菜单
在显示的 “保存工具 ”浮出控件面板中,输入以下详细信息:
名字: 工具的可发现名称,可帮助 AI 模型正确识别和选择特定任务的工具。
描述: 工具的说明。 有关详细信息,请参阅 有关创建工具说明的最佳做法。
收集: 选择是要将工具添加到现有工具集合,还是通过选择“ 创建新集合”来创建新工具集合。
默认工作区: 每当提示未指定任何工作区时,你希望代理用作提示的默认工作区。
参数(可选): 该工具支持的可自定义输入。 可以将 KQL 查询中的某些值转换为采用
{ParamaterName}格式的参数,然后添加其参数名称和说明,以便代理对如何基于可用聊天上下文填充这些值有很好的了解。
选择“保存”。
查看保存的自定义 MCP 工具
若要查看从高级搜寻查询保存的自定义 MCP 工具,请转到“高级搜寻”页中的“工具”选项卡。
创建工具说明的最佳做法
保存自定义工具时,其名称以及更重要的是,其说明对于识别和选择特定任务至关重要。 在描述工具时,以下最佳做法和注意事项会有所帮助:
保持简短且以行动为导向。 使用一到两个句子,以明确的谓词和资源开头(例如,“检索特定用户的审核日志数据”)。 避免行话或过于技术措辞。
专注于目的,而不是参数。 描述该工具的作用及其主要用例。 将参数详细信息保留到架构,而不是描述。
仅在至关重要时才包含工作流提示。 如果某个工具需要先决条件步骤(例如“先调用
risky_users_tool”),请简要地提及它以防止滥用。针对可发现性和清晰度进行优化。 使用一致的命名,避免含糊不清的术语,并确保说明可帮助 AI 模型和用户快速选择正确的工具。
在自定义代理和编码平台中使用自定义工具
有关如何在安全代理中使用自定义工具集合的详细信息,请参阅以下 AI 驱动的代码编辑器和代理构建平台的文章: