Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Коллекция триажа на сервере Microsoft Sentinel Model Context Protocol (MCP) интегрирует модели искусственного интеллекта с API, поддерживающими процесс обработки инцидентов и охоту. Эта интеграция позволяет быстро определять приоритеты инцидентов и легко анализировать собственные данные, сокращая среднее время на разрешение, уровень риска и время нахождения проблемы.
Используйте средство для следующих сценариев:
- Сортировка инцидентов: Определите приоритет инцидентов быстро с помощью собственных моделей ИИ, сокращая среднее время для разрешения. Используйте инструменты для получения инцидентов, оповещений, доказательств по оповещениям, сущностей и других данных.
- Охота: Легко ищите данные с помощью собственных моделей искусственного интеллекта, снижая риски и время обнаружения. Используйте средства для выполнения запросов охоты и получения необходимых данных во время охоты.
Предпосылки
Чтобы получить доступ к коллекции средств триажа, необходимо иметь следующие предварительные требования:
- XDR в Microsoft Defender, Microsoft Defender для конечной точки или Microsoft Sentinel подключены к порталу Defender
- Любой поддерживаемый редактор кода с поддержкой ИИ и платформы создания агентов:
Добавить коллекцию сортировки
Чтобы добавить коллекцию исследования данных, необходимо сначала настроить единый интерфейс сервера MCP Microsoft Sentinel. Следуйте пошаговые инструкции по совместимым редакторам кода с использованием ИИ и платформам создания агентов, перечисленным в разделе "Предварительные требования ".
Коллекция триажа доступна по следующему URL-адресу.
https://sentinel.microsoft.com/mcp/triage
Инструменты в коллекции для сортировки
Перечисление инцидентов безопасности (ListIncidents)
Это средство содержит список инцидентов безопасности и фильтрует их по диапазону дат, серьезности, состоянию, назначенному аналитику и состоянию исследования.
| Параметры | Обязательно? | Description |
|---|---|---|
createdAfter |
нет | Время после создания инцидента |
createdBefore |
нет | Время до создания инцидента |
Severity |
нет | Серьезность, назначенная инциденту (например, низкая или высокая) |
Status |
нет | Текущее состояние инцидента (новое, активное или закрытое) |
AssignedTo |
нет | Какому пользователю назначен инцидент |
Classification |
нет | Классификация (например, True Positive или False Positive) |
Determination |
нет | Определение (например, вредоносные программы или фишинг) |
orderBy |
нет | Инструкции по упорядочению возвращенных инцидентов |
Search |
нет | Поиск свободного текста в данных инцидента |
includeAlertsData |
нет | Параметр включения данных из базовых оповещений |
skip |
нет | Пропускает указанное количество элементов с начала результирующего набора. |
top |
нет | Ограничивает количество элементов, возвращаемых в ответе |
Получите инцидент безопасности (GetIncidentById)
Это средство извлекает инцидент безопасности по идентификатору, включая его свойства, коррелированные оповещения и метаданные, такие как состояние, серьезность, классификация и метки времени.
| Параметры | Обязательно? | Description |
|---|---|---|
incidentID |
Да | Идентификатор связан с инцидентом |
includeAlertsData |
нет | Параметр включения данных из базовых оповещений |
Список сигналов безопасности, относящихся к инциденту (ListAlerts)
В этом средстве перечислены оповещения системы безопасности, их сортировка и фильтрация по диапазону дат, серьезности и состоянию.
| Параметры | Обязательно? | Description |
|---|---|---|
createdAfter |
нет | Время, после которого было создано оповещение |
createdBefore |
нет | Время до создания оповещения |
Severity |
нет | Серьезность, назначенная оповещению (например, низкая или высокая) |
status |
нет | Текущее состояние оповещения; возможные значения: Неизвестно, Новое, В процессе и Завершено |
skip |
нет | Пропускает указанное количество элементов с начала результирующего набора. |
top |
нет | Ограничивает количество элементов, возвращаемых в ответе |
Получение оповещения системы безопасности (GetAlertByID)
Этот инструмент извлекает сигнал тревоги безопасности по идентификатору. Он возвращает полные сведения об оповещении, включая серьезность, состояние, классификацию и сопутствующие доказательные сущности.
| Параметры | Обязательно? | Description |
|---|---|---|
AlertID |
Да | Уникальный идентификатор оповещения |
Список таблиц расширенной охоты (FetchAdvancedHuntingTablesOverview)
В этом инструменте перечислены названия доступных таблиц расширенной охоты и их краткие описания. Важно понимать источники данных перед написанием запросов языка запросов Kusto (KQL).
| Параметры | Обязательно? | Description |
|---|---|---|
tableNames |
нет | Имена таблиц расширенной охоты |
Получение схемы расширенной таблицы охоты (FetchAdvancedHuntingTablesDetailedSchema)
Это средство извлекает полные схемы столбцов с описаниями для указанных таблиц продвинутого поиска. Информация, которую она предоставляет, имеет решающее значение для создания запросов KQL без ошибок. Используйте это средство перед вызовом RunAdvancedHuntingQuery.
| Параметры | Обязательно? | Description |
|---|---|---|
tableNames |
Да | Имена таблиц расширенной охоты |
Выполнение запроса охоты (RunAdvancedHuntingQuery)
Выполните запрос для расширенной охоты с помощью KQL в поддерживаемых таблицах Microsoft Defender для упреждающего поиска угроз. Чтобы понять источники данных, сначала выполните команду FetchAdvancedHuntingTablesOverview. Для KQL без ошибок сначала запустите FetchAdvancedHuntingTablesDetailedSchema.
| Параметры | Обязательно? | Description |
|---|---|---|
kqlQuery |
Да | Запрос KQL для выполнения на выбранной таблице |
timestamp |
нет | Метка времени, которую нужно выбрать для запроса |
Получение сведений о файле (GetDefenderFileInfo)
Получите сведения о файле, такие как хэши, размер, тип, издатель, сведения о сертификате подписи и глобальную распространенность с временными метками первого и последнего обнаружения.
| Параметры | Обязательно? | Description |
|---|---|---|
fileHash |
Да | Хэш SHA-1, SHA-256 или MD5 файла |
Получение статистики файлов (GetDefenderFileStatistics)
Получение статистики распространенности файлов организации, включая количество устройств, в которых был замечен файл.
| Параметры | Обязательно? | Description |
|---|---|---|
fileHash |
Да | Хэш SHA-1, SHA-256 или MD5 файла |
Получение оповещений о файлах (GetDefenderFileAlerts)
Список всех оповещений системы безопасности, созданных определенным файлом в организации, включая исторические и активные оповещения.
| Параметры | Обязательно? | Description |
|---|---|---|
fileHash |
Да | Хэш SHA-1, SHA-256 или MD5 файла |
Получить устройства, связанные с файлами (GetDefenderFileRelatedMachines)
Перечислите все устройства, которые столкнулись с определенным файлом для оценки его распространения в вашей среде.
| Параметры | Обязательно? | Description |
|---|---|---|
fileHash |
Да | Хэш SHA-1, SHA-256 или MD5 файла |
Вывод списка индикаторов угроз (ListDefenderIndicators)
Перечисление индикаторов компрометации арендатора (IOC) в Microsoft Defender для конечной точки. Используйте фильтры для типов, значений, действий и серьезности.
| Параметры | Обязательно? | Description |
|---|---|---|
indicatorType |
нет | Тип индикатора (например, хэш файлов, доменное имя или IP-адрес) |
indicatorValue |
нет | Определенное значение индикатора для фильтрации результатов |
Action |
нет | Действие, примененное к индикатору (оповещение, блокировка или разрешение) |
ApplicationName |
нет | Приложение, связанное с индикатором |
Title |
нет | Заголовок или описание индикатора |
Severity |
нет | Уровень серьезности (информационный, низкий, средний или высокий) |
createdAfter |
нет | Возвратите индикаторы, созданные после этой временной метки |
createdBefore |
нет | Индикаторы, созданные до этого временного штампа, следует вернуть. |
Перечисление автоматизированных расследований (ListDefenderInvestigations)
Список автоматических расследований в Microsoft Defender для EndPoint. Используйте фильтры для состояния, целевого устройства, времени начала или активации идентификатора оповещения.
| Параметры | Обязательно? | Description |
|---|---|---|
startTime |
нет | Вернуть расследования, начатые после этой отметки времени |
endTime |
нет | Вернуть расследования, начатые до указанной метки времени |
Status |
нет | Состояние исследования (в процессе выполнения, завершено или завершилось сбоем) |
skip |
нет | Пропускает указанное количество элементов с начала результирующего набора. |
top |
нет | Ограничивает количество элементов, возвращаемых в ответе |
Получить автоматизированное исследование (GetDefenderInvestigation)
Сведения о конкретном автоматическом расследовании, включая статус, метки времени, целевое устройство и срабатывающее оповещение.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор исследования |
Получение всех оповещений о безопасности для IP-адреса (GetDefenderIpAlerts)
Список всех оповещений системы безопасности в организации, связанных с указанным IP-адресом.
| Параметры | Обязательно? | Description |
|---|---|---|
ipAddress |
Да | IP-адрес для получения связанных оповещений |
Получение статистики по IP-адресу (GetDefenderIpStatistics)
Получите статистику по заданному IP-адресу, включая количество отдельных устройств, взаимодействующих с ним.
| Параметры | Обязательно? | Description |
|---|---|---|
ipAddress |
Да | IP-адрес для получения статистики |
Получить конечное устройство (GetDefenderMachine)
Получите подробные сведения о конкретном устройстве Defender для конечной точки, включая сведения об операционной системе, состояние работоспособности, оценку риска и уровень воздействия.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор устройства |
Получение оповещений системы безопасности, связанных с устройством (GetDefenderMachineAlerts)
Список всех оповещений системы безопасности, связанных с определенным устройством для представления угроз, ориентированных на устройство.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор устройства |
Получение пользователей, выполнивших вход на устройство (GetDefenderMachineLoggedOnUsers)
Список учетных записей, вошедших на устройство. Для каждого пользователя API предоставляет контекст, например имя пользователя и домен учетной записи.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор устройства |
Получить уязвимости устройства (GetDefenderMachineVulnerabilities)
Список обнаруженных уязвимостей безопасности на устройстве с общими уязвимостями и сведениями об уязвимостях (CVE) и оценках рисков.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор устройства |
Поиск устройства по внутреннему IP-адресу (FindDefenderMachineByIp)
Вывод списка всех устройств, взаимодействующих с определенным внутренним IP-адресом в диапазоне времени 15 минут до и после заданной метки времени, для анализа сетевого сопоставления и бокового перемещения.
| Параметры | Обязательно? | Description |
|---|---|---|
ipAddress |
Да | Внутренний IP-адрес для поиска |
timestamp |
Да | Метка времени, определяющая окно запроса, охватывает 15 минут до и 15 минут после указанного времени. |
Перечисление задач исправления (ListDefenderRemediationActivities)
Вывод списка задач исправления и их состояния выполнения на разных устройствах. Каждое действие исправления соответствует рекомендациям или задачам безопасности.
| Параметры | Обязательно? | Description |
|---|---|---|
Type |
нет | Тип мероприятия по устранению |
machineID |
нет | Идентификатор затронутого устройства |
Status |
нет | Состояние задачи исправления (ожидание или завершение) |
createdTimeFrom |
нет | Возврат задач, созданных после этой метки времени |
createdTimeTo |
нет | Вернуть задачи, созданные до этого момента времени |
skip |
нет | Пропускает указанное количество элементов с начала результирующего набора. |
top |
нет | Ограничивает количество элементов, возвращаемых в ответе |
Получение подробных сведений о задаче исправления (GetDefenderRemediationActivity)
Получение подробных сведений о задаче исправления, включая состояние выполнения, результаты и затронутые устройства.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор мероприятия по устранению |
Список оповещений безопасности, связанных с учетной записью пользователя (ListUserRelatedAlerts)
Список всех оповещений системы безопасности, связанных с определенной учетной записью пользователя. Эта информация необходима для исследования угроз, ориентированных на пользователей, и анализа поведения.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор учетной записи пользователя |
Вывод списка всех устройств, активных для пользователя (ListUserRelatedMachines)
Список всех устройств, на которых у конкретного пользователя есть активные или последние сеансы входа. Используйте это средство для отслеживания активности пользователя и анализа бокового перемещения.
| Параметры | Обязательно? | Description |
|---|---|---|
ID |
Да | Уникальный идентификатор учетной записи пользователя |
Вывод списка всех устройств, затронутых уязвимостью (ListDefenderMachinesByVulnerability)
Вывод списка всех устройств, затронутых определенной уязвимостью CVE. Это средство имеет решающее значение для определения приоритетов управления исправлениями.
| Параметры | Обязательно? | Description |
|---|---|---|
cveID |
Да | Идентификатор CVE уязвимости |
Список уязвимостей, влияющих на программное обеспечение (ListDefenderVulnerabilitiesBySoftware)
Список уязвимостей, влияющих на определенное программное обеспечение на определенном устройстве для целевой оценки уязвимостей.
| Параметры | Обязательно? | Description |
|---|---|---|
machineID |
Да | Уникальный идентификатор устройства |
softwareID |
Да | Уникальный идентификатор программного обеспечения |
Примеры подсказок
Следующие примеры подсказок демонстрируют, что можно сделать с коллекцией триажа.
- Перечислите последние пять инцидентов из моего клиента и оцените, какой из них является самым срочным для рассмотрения
- Предоставьте оповещения для <конкретного инцидента> и проанализируйте доказательства оповещений о вредоносности
- Запустите поисковый запрос, чтобы проверить, какие пользователи взаимодействовали с <сущностью>
Ограничения
- Эту коллекцию нельзя использовать в качестве гостя в другом арендаторе или с делегированным доступом. Сервер MCP можно использовать только в собственном домашнем клиенте.
- Пользователи Microsoft Sentinel не могут выбрать используемую рабочую область.
- Невозможно запрашивать данные в озере Microsoft Sentinel. Вместо этого можно использовать средства изучения данных .