你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何设置和使用Microsoft Sentinel 的模型上下文协议 (MCP) 安全工具集合,以针对安全数据启用自然语言查询。 Sentinel 对 MCP 的支持使安全团队能够通过允许 AI 模型以标准方式访问安全数据,从而将 AI 引入其安全作。
Sentinel 的安全工具 集合 适用于多个客户端和自动化平台。 可以使用这些工具:
- 搜索相关表
- 检索数据
- 分析实体
- 创建安全 CoPilot 代理
- 会审事件
- 寻找威胁
先决条件
若要使用 Microsoft Sentinel MCP 服务器并访问其工具集合,需要至少加入以下产品之一:
- Microsoft Sentinel data lake
- Microsoft Defender 门户中的 Microsoft Sentinel
- Microsoft Defender XDR 或 Microsoft Defender for Endpoint
有关工具集合的特定产品先决条件的详细信息,请参阅各自的文章。
还需要 安全读取者 角色来列出和调用 Sentinel 的 MCP 工具集合。 分诊工具集合允许您使用您现有权限所授予的任何工具。
添加Microsoft Sentinel 的 MCP 工具集合
有关如何添加Microsoft Sentinel MCP 工具集合的详细信息,请参阅以下由 AI 提供支持的代码编辑器和代理构建平台的文章:
使用示例提示来测试您添加的工具
添加Microsoft Sentinel 的工具集合后,使用以下示例提示与 Microsoft Sentinel 数据湖中的数据进行交互。
- 找到有风险的前三个用户,并解释他们面临风险的原因。
- 查找过去 24 小时内的登录失败,并简要总结关键发现。
- 识别那些显示了异常多的出站网络连接的设备。
- 帮助我了解用户对象 <ID> 是否遭到入侵。
- 调查过去七天内发出密码喷射警报的用户,告诉我其中是否有任何用户遭到入侵。
- 在威胁分析报告中查找所有 URL IOC,并对其进行分析,告诉我 Microsoft 对这些系统的所有了解。<>
若要了解代理如何调用我们的工具来回答这些提示,请参阅 如何Microsoft Sentinel MCP 工具与代理一起工作。