你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel(我们的安全平台)引入了对模型上下文协议(MCP)的支持。 此支持包括多个以场景为重点的安全工具集合,这些集合通过统一的服务器接口进行管理。 借助此支持,可以以自然语言以交互方式查询安全数据,并构建可执行复杂自动化的有效安全代理。 我们的安全工具集合可帮助安全团队将 AI 引入日常安全作,以帮助完成数据探索、构建代理自动化以及事件会审和威胁搜寻等常见任务。
Microsoft Sentinel 对 MCP 的支持的主要功能
以下功能和优势是 Microsoft Sentinel MCP 服务器的一部分:
统一的托管接口,用于 AI 驱动的安全作:Microsoft Sentinel 的统一 MCP 服务器接口完全托管,无需基础结构部署,并使用 Microsoft Entra 进行标识。 安全团队可以连接兼容的客户端应用程序,以简化日常的 AI 操作。
面向场景的自然语言安全工具:Microsoft Sentinel 的 MCP 支持通过面向场景的现成可用安全工具集合来提供。 这些集合可帮助安全团队使用自然语言Microsoft Sentinel data lake 和 Microsoft Defender 中的安全数据进行交互和推理,从而无需代码优先集成、理解数据架构或编写格式正确的数据查询。
加速开发有效的安全代理:Microsoft Sentinel 的安全工具集合可自动发现和检索安全数据,并提供可预测、可作的响应来自定义代理。 此支持可加快高效安全代理的创建速度,并提供更好的高效安全代理。
经济高效的上下文丰富的安全数据集成:Data Lake 使你可以将所有安全数据引入Microsoft Sentinel 经济高效,因此无需在覆盖范围和成本之间进行选择。 Microsoft Sentinel 的工具集合与安全数据湖和 Microsoft Defender 原生集成,使您能够构建全方位的安全环境工程。
MCP 简介
模型上下文协议(MCP)是一种开放协议,用于管理语言模型如何以安全、结构化和有状态的方式与外部工具、内存和上下文进行交互。 MCP 使用具有多个组件的客户端-服务器体系结构:
MCP 主机:协调和管理一个或多个 MCP 客户端的 AI 应用程序
MCP 客户端:维护与 MCP 服务器的连接并从 MCP 服务器获取上下文的组件,供 MCP 主机使用
MCP 服务器:向 MCP 客户端提供上下文的程序
例如,Visual Studio Code 充当 MCP 主机。 当 Visual Studio Code 与 MCP 服务器建立连接(例如用于数据浏览的 Microsoft Sentinel MCP 服务器)时,Visual Studio Code 运行时将实例化一个 MCP 客户端对象,该对象维护与连接的 MCP 服务器的连接。
使用 Microsoft Sentinel 的 MCP 集合的方案
将 兼容客户端 连接到 Microsoft Sentinel 的 MCP 集合时,可以使用工具来:
以交互方式探索长期安全数据:安全分析师和威胁搜寻者(如关注基于标识的攻击)需要跨各种安全表快速查询和关联数据。 如今,他们必须了解所有表以及每个表包含哪些数据。 借助我们的数据探索集合,分析人员现在可以使用自然语言提示从 Microsoft Sentinel 数据湖中的表搜索和检索相关数据,而无需记住表及其架构或编写格式良好的 Kusto 查询(KQL)查询。
例如,分析人员可以通过将文件活动与 Purview 敏感度标签相关联来查找可能的内部威胁,以发现数据外泄的迹象、策略冲突或可能在原始 90 到 180 天/时间范围内未注意到的可疑用户行为。 这种交互式方法可加速威胁发现和调查,同时减少对手动查询表述的依赖。
在安全数据中分析实体:安全运营中心(SOC)的工程师、分析师,甚至代理都需要一种简单的方法,来使用组织的全部安全数据分析和评估实体,例如 URL 和用户。 但如今的碎片化数据源使这一过程变得复杂且耗时,从而增加了自动化的难度。 因此,作为最常见的事件会审任务之一,实体扩充往往成为手动收集上下文的工作,从而减缓了响应时间。 借助数据探索集合中的实体分析器工具,分析师和 SOC 工程师可进行一键式操作,使用数据湖中的安全数据对实体进行检索、推理和清晰呈现全面的判断和分析,从而使你和你生成的智能体能够轻松地自动化实体扩充。
通过自然语言构建安全 Copilot 代理: 由于数据源分散和严格的架构要求,SOC 工程师通常需要花费数周来自动执行“playbook”。 借助我们的代理创建工具,工程师可以使用自然语言描述其意图,以便快速使用正确的 AI 模型说明和工具分析其安全数据,构建根据组织工作流和流程自定义的自动化代理。
会审事件并搜寻威胁: SOC 工程师需要快速确定事件的优先级,并轻松搜寻组织自己的数据,而无需担心安全工作流问题以及它们使用的平台和工具之间的互作性。 我们的会审工具集合将 AI 模型与支持事件会审和搜寻的 API 集成。 此集成可缩短解决时间、风险暴露和停留时间,并使团队能够利用 AI 实现更智能、更快的决策。