你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的模型上下文协议 (MCP) 服务器集合是相关安全为中心的 MCP 工具的逻辑分组,可在任何 兼容的客户端 中使用这些工具:
- 搜索相关表
- 检索数据
- 分析实体
- 创建安全 CoPilot 代理
- 会审事件
- 寻找威胁
我们的集合以方案为重点,具有安全优化的说明,可帮助 AI 模型选取正确的工具并交付这些结果。 例如,可以使用以下示例提示获取相应的工具:
- 找到有风险的前三个用户,并解释他们面临风险的原因。
- 查找过去 24 小时内的登录失败,并简要总结关键发现。
- 识别那些显示了异常多的出站网络连接的设备。
- 帮助我了解用户对象 <ID> 是否遭到入侵。
- 调查过去七天内发出密码喷射警报的用户,告诉我其中是否有任何用户遭到入侵。
- 在威胁分析报告中查找所有 URL IOC,并对其进行分析,告诉我 Microsoft 对这些系统的所有了解。<>
可用集合
下表列出了可以使用的可用集合:
| Collection | Description | 服务器网址 |
|---|---|---|
| 数据浏览 | 通过搜索相关表、查询湖和分析实体,探索 Microsoft Sentinel 数据湖中的安全数据 | https://sentinel.microsoft.com/mcp/data-exploration |
| Security Copilot 代理创建 | 为复杂工作流创建Microsoft安全 Copilot 代理 | https://sentinel.microsoft.com/mcp/security-copilot-agent-creation |
| 会审 | 快速会审事件,并且轻松搜寻你自己的数据。 | https://sentinel.microsoft.com/mcp/triage |
创建自己的自定义 MCP 工具
可以让智能体使用自定义 MCP 工具,在高级搜寻中从保存的 Kusto 查询语言 (KQL) 查询库中检索和推理知识。 创建自己的 Sentinel MCP 工具可以精细控制安全代理可访问的数据,并创建确定性的代理工作流。
有关详细信息,请参阅 创建和使用自定义Microsoft Sentinel MCP 工具。