通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用分类收集对事件进行优先级排序并搜寻威胁 (预览版)

重要

这些与预发行产品相关的信息在发布前可能进行重大修改。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

Microsoft Sentinel 模型上下文协议 (MCP) 服务器中的会审集合将 AI 模型与支持事件会审和搜寻的 API 集成在一起。 通过此集成,可以快速确定事件优先级,并轻松搜寻自己的数据,减少平均解决时间、风险暴露和停留时间。

将该工具用于以下方案:

  • 事件会审: 使用自己的 AI 模型快速确定事件优先级,减少平均解决时间。 使用这些工具提取事件、警报、警报证据、实体和其他数据。
  • 狩猎: 使用自己的 AI 模型轻松搜寻数据,降低风险暴露和停留时间。 使用这些工具在搜寻过程中运行搜寻查询并提取所需的数据。

先决条件

若要访问筛选工具集合,必须满足以下先决条件:

  • Microsoft Defender XDR、Microsoft Defender for Endpoint 或 Microsoft Sentinel 已载入到 Defender 门户
  • 任何受支持的 AI 支持的代码编辑器和代理构建平台:

添加会审集合

若要添加数据浏览集合,必须先设置Microsoft Sentinel 的统一 MCP 服务器接口。 按照“ 先决条件 ”部分中列出的兼容 AI 驱动的代码编辑器和代理构建平台的分步说明进行作。

会审集合托管在以下 URL 上:

https://sentinel.microsoft.com/mcp/triage

会审集合中的工具

列出安全事件(ListIncidents

此工具列出安全事件,并按日期范围、严重性、状态、分配的分析师和调查状态筛选它们。

参数 Required? Description
createdAfter 创建事件之后的时间
createdBefore 创建事件之前的时间
Severity 分配给事件的严重性(例如“低”或“高”)
Status 事件的当前状态(新建、活动或已关闭)
AssignedTo 事件被分配给的用户
Classification 分类(例如真正或假阳性)
Determination 确定(例如恶意软件或网络钓鱼)
orderBy 命令返回事件的指令
Search 跨事件数据的自由文本搜索
includeAlertsData 包含基础警报中的数据的选项
skip 从结果集的开头跳过指定数量的项目
top 限制响应中返回的项数

获取安全事件 (GetIncidentById

此工具按 ID 检索安全事件,包括其属性、相关警报和元数据,例如状态、严重性、分类和时间戳。

参数 Required? Description
incidentID 是的 标识符与事件相关联
includeAlertsData 包含基础警报中的数据的选项

此工具列出安全警报、对警报进行排序,并按日期范围、严重性和状态筛选它们。

参数 Required? Description
createdAfter 创建警报后的时间段
createdBefore 创建警报之前的时间
Severity 分配给警报的严重性(例如“低”或“高”)
status 警报的当前状态;可能的值:Unknown、New、InProgress 和 Resolved
skip 从结果集的开头跳过指定数量的项目
top 限制响应中返回的项数

获取安全警报 (GetAlertByID

此工具按 ID 检索安全警报。 它返回完整的警报详细信息,包括严重性、状态、分类和相关证据实体。

参数 Required? Description
AlertID 是的 警报的唯一标识符

列出高级搜寻表 (FetchAdvancedHuntingTablesOverview)

此工具列出了可用高级狩猎表格的名称及其简要描述。 在编写 Kusto 查询语言 (KQL) 查询之前,了解数据源至关重要。

参数 Required? Description
tableNames 高级搜寻表名称

获取高级搜寻表架构 (FetchAdvancedHuntingTablesDetailedSchema)

此工具检索完整的列架构以及指定高级搜寻表的说明。 它提供的信息对于构造无错误 KQL 查询至关重要。 在调用 RunAdvancedHuntingQuery之前使用此工具。

参数 Required? Description
tableNames 是的 高级搜寻表名称

运行搜寻查询 (RunAdvancedHuntingQuery

通过在受支持的 Microsoft Defender 表中使用 KQL 运行高级搜寻查询,以主动搜索威胁。 若要了解数据源,请先运行 FetchAdvancedHuntingTablesOverview。 对于无错误的 KQL,请首先运行 FetchAdvancedHuntingTablesDetailedSchema

参数 Required? Description
kqlQuery 是的 KQL 查询在所选表上运行
timestamp 要为查询选择的时间戳

获取文件信息 (GetDefenderFileInfo

获取文件详细信息,例如哈希、大小、类型、发布者、签名证书信息、全球出现情况,以及首次和最后一次出现的时间戳。

参数 Required? Description
fileHash 是的 文件的 SHA-1、SHA-256 或 MD5 哈希

获取文件统计信息 (GetDefenderFileStatistics

获取组织中关于文件普及率的统计信息,包括观察到该文件的设备数量。

参数 Required? Description
fileHash 是的 文件的 SHA-1、SHA-256 或 MD5 哈希

接收文件警报 (GetDefenderFileAlerts

列出组织中特定文件生成的所有安全警报,包括历史警报和活动警报。

参数 Required? Description
fileHash 是的 文件的 SHA-1、SHA-256 或 MD5 哈希

列出遇到特定文件的所有设备,以评估其在你的环境中的传播情况。

参数 Required? Description
fileHash 是的 文件的 SHA-1、SHA-256 或 MD5 哈希

列出威胁指标 (ListDefenderIndicators

列出用于终结点的 Microsoft Defender 中的租户入侵指标 (IOC)。 对类型、值、动作和严重性使用筛选器。

参数 Required? Description
indicatorType 指示器类型(例如文件哈希、域名或 IP 地址)
indicatorValue 用于筛选结果的指示器的特定值
Action 应用于指示器的操作(警报、阻止或允许)
ApplicationName 与指示器关联的应用程序
Title 指示器的标题或说明
Severity 严重性级别(信息性、低、中或高)
createdAfter 返回在此时间戳之后创建的指示器
createdBefore 返回在此时间戳之前创建的指示器

列出自动调查(ListDefenderInvestigations

列出 Defender for Endpoint 中的自动调查案例。 使用筛选器来筛选状态、目标设备、开始时间或触发警报 ID。

参数 Required? Description
startTime 返回在此时间戳之后开始的调查
endTime 返回在此时间戳之前开始的调查
Status 调查状态(正在运行、已完成或失败)
skip 从结果集的开头跳过指定数量的项目
top 限制响应中返回的项数

获取自动分析(GetDefenderInvestigation

获取特定自动调查的详细信息,包括状态、时间戳、目标设备和触发警报。

参数 Required? Description
ID 是的 调查的唯一标识符

获取 IP 地址的所有安全警报(GetDefenderIpAlerts

列出组织中与指定 IP 地址相关的所有安全警报。

参数 Required? Description
ipAddress 是的 用于检索相关警报的 IP 地址

获取 IP 地址的统计信息 (GetDefenderIpStatistics

获取给定 IP 地址的统计信息,包括与之通信的不同设备数。

参数 Required? Description
ipAddress 是的 用于检索统计信息的 IP 地址

获取端点设备(GetDefenderMachine

获取有关特定 Defender for Endpoint 设备的详细信息,包括操作系统详细信息、健康状态、风险评分和暴露级别。

参数 Required? Description
ID 是的 设备的唯一标识符

列出与特定设备关联的所有安全警报,了解以设备为中心的威胁视图。

参数 Required? Description
ID 是的 设备的唯一标识符

获取登录到设备的用户(GetDefenderMachineLoggedOnUsers

列出登录到设备的帐户。 对于每个用户,API 提供上下文,例如帐户用户名和域。

参数 Required? Description
ID 是的 设备的唯一标识符

获取设备漏洞 (GetDefenderMachineVulnerabilities

列出设备上发现的安全漏洞,包括常见漏洞和披露(CVE)详细信息及风险评估分数。

参数 Required? Description
ID 是的 设备的唯一标识符

按内部 IP 地址查找设备 (FindDefenderMachineByIp

列出在给定时间戳前后的时间范围内与特定内部 IP 地址通信的所有设备,以便进行网络映射和横向移动分析。

参数 Required? Description
ipAddress 是的 要搜索的内部 IP 地址
timestamp 是的 定义查询窗口的时间戳,检查指定时间之前 15 分钟和之后 15 分钟

列出修正任务 (ListDefenderRemediationActivities

列出修正任务及其跨设备执行状态。 每个修正活动对应于安全建议或任务。

参数 Required? Description
Type 修正活动的类型
machineID 受影响的设备的标识符
Status 修正任务的状态(挂起或已完成)
createdTimeFrom 返回在此时间戳之后创建的任务
createdTimeTo 返回在此时间戳之前创建的任务
skip 从结果集的开头跳过指定数量的项目
top 限制响应中返回的项数

获取详细的修正任务信息 (GetDefenderRemediationActivity

获取详细的修正任务信息,包括执行状态、结果和受影响的设备。

参数 Required? Description
ID 是的 修正活动的唯一标识符

列出与特定用户帐户关联的所有安全警报。 此信息对于以用户为中心的威胁调查和行为分析至关重要。

参数 Required? Description
ID 是的 用户帐户的唯一标识符

列出用户处于活动状态的所有设备(ListUserRelatedMachines

列出特定用户具有活动或最近登录会话的所有设备。 使用此工具跟踪用户活动并分析横向移动。

参数 Required? Description
ID 是的 用户帐户的唯一标识符

列出受漏洞影响的所有设备(ListDefenderMachinesByVulnerability

列出受特定 CVE 漏洞影响的所有设备。 此工具对于修补程序管理优先级至关重要。

参数 Required? Description
cveID 是的 漏洞的 CVE 标识符

列出影响软件的漏洞 (ListDefenderVulnerabilitiesBySoftware

列出影响特定设备上特定软件的漏洞,以便进行有针对性的漏洞评估。

参数 Required? Description
machineID 是的 设备的唯一标识符
softwareID 是的 软件的唯一标识符

示例提示

以下示例提示演示了您可以对分类集合执行的操作:

  • 列出我的租户中的最近五个事件,并评估哪个是最急需优先会审的
  • 提供特定 <事件的> 警报,并分析恶意警报证据
  • 运行搜寻查询,以检查哪些用户与<实体>进行了交互

局限性

  • 不能将此集合用作另一个租户中的来宾或委托访问。 只能在自己的主租户上使用 MCP 服务器。
  • Microsoft Sentinel 用户无法选择要使用的工作区。
  • 无法在 Microsoft Sentinel lake 中查询数据。 可以改用 数据浏览工具

相关内容

  • Last updated on