Opret og brug brugerdefinerede Microsoft Sentinel MCP-værktøjer (prøveversion)

Vigtigt!

Disse oplysninger relaterer til et foreløbig produkt, der kan blive ændret væsentligt, før det udgives. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Sikkerhedsagenter, der er bygget med Microsoft Sentinel samling af MCP-værktøjer (Model Context Protocol), kan bruge effektive grunde til data i Microsoft Sentinel. Du kan oprette brugerdefinerede Sentinel MCP-værktøjer for at få detaljeret kontrol over de data, der er tilgængelige for dine sikkerhedsagenter, og oprette deterministiske agentiske arbejdsprocesser.

I denne artikel kan du se, hvordan du kan give agenter mulighed for at hente og få indsigt i viden fra dit bibliotek med gemte KQL-forespørgsler (Kusto Query Language) i avanceret jagt og Sentinel datasø ved at oprette brugerdefinerede MCP-værktøjer.

Forudsætninger

Hvis du vil oprette brugerdefinerede Microsoft Sentinel MCP-værktøjer, skal du have følgende forudsætninger:

  • Microsoft Sentinel licenser til datasøer og Microsoft Defender
  • Sikkerhedsoperatør, sikkerheds Administration eller rolle som global Administration til oprettelse, opdatering eller sletning af brugerdefinerede værktøjer
  • Rolle som sikkerhedslæser eller global læser for at få vist og aktivere brugerdefinerede værktøjer

Opret brugerdefinerede værktøjer med KQL-forespørgsler

Brug avancerede jagtforespørgsler i Microsoft Defender portal- og KQL-forespørgsler i Microsoft Sentinel datasøen til at finde og finde sikkerhedsdata, som du kan bruge i agentiske arbejdsprocesser. Denne fremgangsmåde giver dig mulighed for at styre typen og mængden af oplysninger, som dine agenter kan finde årsagen til. Når du bekræfter, at en forespørgsel henter de data, du vil have din agent til at forholde sig til, skal du gemme dem som et brugerdefineret MCP-værktøj.

Hvis du vil gemme en KQL-forespørgsel som et MCP-værktøj, skal du følge disse trin:

  1. På siden Avanceret jagt i Microsoft Defender kan du finde og finde de sikkerhedsdata, du vil bruge i dine agentiske flow, fra dine manuelt oprettede KQL-forespørgsler eller fra dit bibliotek med gemte forespørgsler og derefter åbne dem i forespørgselsvinduet.

  2. Vælg Gem som værktøj fra en af følgende Defender-portaloplevelser:

    • Genvejsmenu for en forespørgsel

      Skærmbillede af indstillingen Gem som værktøj i genvejsmenuen for en KQL-forespørgsel.

    • KQL-forespørgselsfeltmenu i en forespørgsel

      Skærmbillede af indstillingen Gem som værktøj i et KQL-forespørgselsfelt.

  3. Angiv følgende oplysninger i pop op-vinduet Gem værktøj , der vises:

    • Navn: Et navn, der kan registreres for dit værktøj, og som hjælper AI-modeller med at identificere og vælge værktøjet til bestemte opgaver korrekt.

    • Beskrivelse: Beskrivelsen af værktøjet. Du kan få flere oplysninger under Bedste fremgangsmåder til oprettelse af værktøjsbeskrivelser.

    • Samling: Vælg, om du vil tilføje værktøjet en eksisterende værktøjssamling eller oprette en ny ved at vælge Opret ny samling.

    • Standardarbejdsområde: Det standardarbejdsområde, som din agent skal bruge som et tip, når en prompt ikke angiver nogen arbejdsområder.

    • Parametre (valgfrit): De input, der kan tilpasses, som værktøjet understøtter. Du kan konvertere nogle af værdierne i din KQL-forespørgsel til parametre efter {ParamaterName} formatet og derefter tilføje deres parameternavn og beskrivelse , så agenten har en god forståelse af, hvordan de udfyldes baseret på tilgængelig samtalekontekst.

    Skærmbillede af pop op-vinduet med det brugerdefinerede MCP-værktøj i avanceret jagt.

    Skærmbillede af en KQL-forespørgsel, hvor visse værdier er konverteret til parametre.

  4. Vælg Gem.

Vis gemte brugerdefinerede MCP-værktøjer

Hvis du vil have vist de brugerdefinerede MCP-værktøjer, du har gemt fra avancerede jagtforespørgsler, skal du gå til fanen Funktioner på siden Avanceret jagt .

Bedste praksis for oprettelse af værktøjsbeskrivelser

Når du gemmer dit brugerdefinerede værktøj, er dets navn og endnu vigtigere dets beskrivelse afgørende for at identificere og vælge det til bestemte opgaver. Følgende bedste fremgangsmåder og overvejelser kan være en hjælp, når du beskriver dit værktøj:

  • Hold den kort og handlingsorienteret. Brug en til to sætninger, der starter med et klart verbum og en klar ressource (f.eks. "Henter overvågningslogdata for en bestemt bruger"). Undgå jargon eller alt for teknisk udtryk.

  • Fokuser på formålet, ikke parametre. Beskriv, hvad værktøjet gør, og dets primære use case. Lad parameterdetaljerne være i skemaet, ikke beskrivelsen.

  • Medtag kun arbejdsprocestip, hvis de er kritiske. Hvis et værktøj kræver et forudsætningstrin (f.eks. "Ring først risky_users_tool "), skal du nævne det kort for at forhindre misbrug.

  • Optimer til registrering og tydelighed. Brug ensartet navngivning, undgå tvetydige ord, og sørg for, at beskrivelser hjælper AI-modeller og brugere med hurtigt at vælge det rette værktøj.

Brug brugerdefinerede værktøjer på brugerdefinerede agenter og kodeplatforme

Du kan få flere oplysninger om, hvordan du bruger din brugerdefinerede værktøjssamling i dine sikkerhedsagenter, i artiklerne om følgende AI-drevne kodeeditorer og platforme til agentoprettelse:

Relateret indhold

  • Last updated on