Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как настроить и использовать коллекцию средств безопасности mcp (model Context Protocol) Microsoft Sentinel, чтобы включить запросы на естественном языке к данным безопасности. поддержка MCP Sentinel позволяет группам безопасности использовать ИИ в своих операциях по обеспечению безопасности, позволяя моделям ИИ получать доступ к данным безопасности стандартным способом. Дополнительные сведения об использовании ИИ на унифицированном сервере MCP Microsoft Sentinel см. в статье Карта приложений: Microsoft Sentinel сервер MCP.
коллекция средств безопасности Sentinel работает с несколькими клиентами и платформами автоматизации. Эти средства можно использовать для поиска соответствующих таблиц и извлечения данных, анализа сущностей, рассмотрения инцидентов, поиска угроз и других задач.
Предварительные условия
Для использования большинства средств на сервере MCP Microsoft Sentinel требуется подключение к Microsoft Sentinel озера данных.
Другие средства также могут потребовать подключения по крайней мере к одному из следующих продуктов:
- Microsoft Sentinel на портале Microsoft Defender
- Microsoft Defender XDR или Microsoft Defender для конечной точки
- Microsoft Security Copilot
Дополнительные сведения о предварительных требованиях для конкретного продукта для коллекции инструментов см. в соответствующих статьях.
Вам также потребуется роль читателя безопасности для вывода списка и вызова коллекции средств MCP Sentinel. Коллекция средств рассмотрения позволяет использовать любой инструмент, предоставленный существующими разрешениями.
Добавление Microsoft Sentinel коллекции средств MCP
Дополнительные сведения о том, как добавить коллекцию средств MCP Microsoft Sentinel, см. в статьях для следующих редакторов кода на основе ИИ и платформ для создания агентов:
Тестирование добавленных средств с помощью примеров запросов
После добавления коллекции средств Microsoft Sentinel используйте следующие примеры запросов, чтобы взаимодействовать с данными в Microsoft Sentinel озера данных.
- Найдите трех основных пользователей, которые подвергаются риску, и объясните, почему они подвергаются риску.
- Найдите сбои входа за последние 24 часа и дайте мне краткую сводку основных результатов.
- Определите устройства, на которых было выявлено большое количество исходящих сетевых подключений.
- Помогите мне понять, скомпрометирован ли идентификатор> объекта пользователя<.
- Изучите пользователей с оповещением о распылении паролей за последние семь дней и сообщите мне, были ли скомпрометированы какие-либо из них.
- Найдите все url-адреса операций ввода-вывода из <отчета> аналитики угроз и проанализируйте их, чтобы сообщить мне все, что корпорация Майкрософт знает о них.
Чтобы понять, как агенты вызывают эти средства для ответа на эти запросы, см. статью Как средства MCP Microsoft Sentinel работают вместе с агентом.
Отключение Microsoft Sentinel доступа к средству MCP
Чтобы отключить доступ к коллекции средств MCP Microsoft Sentinel, обратитесь в службу поддержки клиентов.