Udforsk Microsoft Sentinel datasø med indsamling af dataudforskning

Vigtigt!

Nogle oplysninger er relateret til et foreløbig produkt, der kan blive ændret væsentligt, før det udgives. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Med værktøjssamlingen til dataudforskning på MCP-serveren (Microsoft Sentinel Model Context Protocol) kan du søge efter relevante tabeller og hente data fra Microsoft Sentinel datasø ved hjælp af et naturligt sprog.

Forudsætninger

Hvis du vil have adgang til værktøjssamlingen til dataudforskning, skal du have følgende forudsætninger:

Vigtigt!

Adgang til Sentinel MCP-værktøjer understøttes for brugere, administrerede identiteter eller tjenesteprincipaler, der er tildelt med mindst en af følgende roller:

  • Sikkerhedsadministrator
  • Sikkerhedsoperator
  • Sikkerhedslæser

Tilføj indsamlingen af dataudforskning

Hvis du vil tilføje dataindsamlingen, skal du først konfigurere Microsoft Sentinel samlede MCP-servergrænseflade. Følg den trinvise vejledning for kompatible AI-drevne kodeeditorer og agentopbygningsplatforme.

Indsamlingen af dataudforskning hostes på følgende URL-adresse:

https://sentinel.microsoft.com/mcp/data-exploration

Værktøjer i dataindsamlingen

Semantisk søgning på tabelkatalog (search_tables)

Dette værktøj registrerer data lake-tabeller, der er relevante for et givet input på et naturligt sprog, og returnerer skemadefinitioner for at understøtte oprettelse af forespørgsler. Brug dette værktøj til at finde tabeller, forstå et skema eller oprette gyldige KQL-forespørgsler (Kusto Query Language) for et Microsoft Sentinel arbejdsområde. Du kan også bruge den til at udforske ukendte datakilder eller identificere relevante tabeller for en bestemt undersøgelses- eller analyseopgave.

Parametre Kræves? Beskrivelse
query Ja Denne parameter bruger nøgleord til at søge efter relevante tabeller i de forbundne arbejdsområder.
workspaceId Nej Denne parameter bruger et arbejdsområde-id til at begrænse søgningen til et enkelt forbundet Microsoft Sentinel data lake-arbejdsområde.

Understøttede tabeller

Dette værktøj understøtter Azure Overvågning af loganalyse. Du kan se en komplet liste over tabeller i Azure Overvåg loganalyselogtabeller, der er organiseret efter kategori.

Den understøtter også de fleste af de Microsoft Sentinel tabeller, der er angivet i Microsoft Sentinel tabeller og tilknyttede forbindelser. Følgende tabeller understøttes ikke:

Tabeller, der ikke understøttes Microsoft Sentinel
  • AliCloudActionTrailLogs_CL
  • argsentdc_CL
  • Audit_CL
  • Auth0Logs_CL
  • Awareness_Performance_Details_CL
  • Awareness_SafeScore_Details_CL
  • Awareness_User_Data_CL
  • Awareness_Watchlist_Details_CL
  • CarbonBlack_Alerts_CL
  • Cisco_Umbrella_proxy_CL
  • Cloud_Integrated_CL
  • CloudGuard_SecurityEvents_CL
  • ConfluenceAuditLogs_CL
  • CortexXpanseAlerts_CL
  • CyberSixgill_Alerts_CL
  • DruvaSecurityEvents_CL
  • DynatraceAttacks_CL
  • DynatraceAuditLogs_CL
  • DynatraceProblems_CL
  • DynatraceSecurityProblems_CL
  • ErmesBrowserSecurityEvents_CL
  • FireworkV2_CL
  • Garrison_ULTRARemoteLogs_CL
  • GCPLoadBalancerLogs_CL
  • GitHubAuditLogsV2_CL
  • Health_Data_CL
  • Illumio_Flow_Events_CL
  • IllumioInsightsSummary_CL
  • iocsent_CL
  • Island_Admin_CL
  • Island_User_CL
  • JBossEvent_CL
  • LookoutMtdV2_CL
  • ObsidianActivity_CL
  • ObsidianThreat_CL
  • Onapsis_Defend_CL
  • OneTrustMetadataV3_CL
  • OracleWebLogicServer_CL
  • PaloAltoCortexXDR_Alerts_CL
  • PaloAltoCortexXDR_Audit_Agent_CL
  • PaloAltoCortexXDR_Audit_Management_CL
  • PaloAltoCortexXDR_Endpoints_CL
  • Phosphorus_CL
  • PingOne_AuditActivitiesV2_CL
  • PrismaCloudCompute_CL
  • ProofpointPODMailLog_CL
  • ProofpointPODMessage_CL
  • ProofPointTAPClicksBlockedV2_CL
  • ProofPointTAPMessagesBlockedV2_CL
  • RSAIDPlus_AdminLogs_CL
  • SAPLogServ_CL
  • Seg_Cg_CL
  • Seg_Dlp_CL
  • SeraphicWebSecurity_CL
  • SlackAuditV2_CL
  • Tenable_WAS_Asset_CL
  • TransmitSecurityActivity_CL
  • Ttp_Attachment_CL
  • Ttp_Impersonation_CL
  • Ttp_Url_CL
  • Ubiquiti_CL
  • ValenceAlert_CL
  • vcenter_CL
  • ZimperiumThreatLog_CL
  • ZNSegmentAuditNativePoller_CL

Udfør KQL-forespørgsel (Kusto Query Language) på Microsoft Sentinel datasø (query_lake)

Dette værktøj kører en enkelt KQL-forespørgsel i forhold til et angivet Microsoft Sentinel data lake-arbejdsområde og returnerer det rå resultatsæt. Den er designet til fokuseret undersøgelses- eller analysehentning og ikke masseeksport. Brug dette værktøj til at fremme en undersøgelse eller analysearbejdsproces og hente en sikkerhedshændelse, en besked, et aktiv, en identitet, en enhed eller berigelsesdata. Du kan også bruge det sammen med værktøjet search_tables til at identificere relevante tabelskemaer og oprette gyldige KQL-forespørgsler.

Parametre Kræves? Beskrivelse
query Ja Denne parameter bruger en veludformet KQL-forespørgsel til at hente data fra et Microsoft Sentinel data lake-arbejdsområde.
workspaceId Nej Denne parameter bruger et arbejdsområde-id til at begrænse søgningen til et enkelt forbundet Microsoft Sentinel data lake-arbejdsområde.

Listearbejdsområder (list_sentinel_workspaces)

Dette værktøj viser alle Microsoft Sentinel data lake-arbejdsområdenavne og id-par, der er tilgængelige for dig. Hvis du medtager navnet på arbejdsområdet, får du en nyttig kontekst til at forstå, hvilket arbejdsområde der bruges. Kør dette værktøj, før du bruger andre Microsoft Sentinel værktøjer, da disse værktøjer skal bruge et arbejdsområde-id-argument for at fungere korrekt.

Objektanalyse

Disse værktøjer bruger AI til at analysere din organisations data i Microsoft Sentinel datasø. De giver en dom og detaljeret indsigt i URL-adresser, domæner og brugerobjekter. De hjælper med at fjerne behovet for manuel dataindsamling og komplekse integrationer, der typisk kræves til forbedring og undersøgelse af enheder.

Det kan f.eks analyze_user_entity . være årsager til brugerens godkendelsesmønstre, adfærdsmæssige uregelmæssigheder, aktivitet i din organisation og meget mere for at give en dom og analyse. I mellemtiden analyze_url_entity er der årsager til trusselsintelligens fra Microsoft, din brugerdefinerede trusselsintelligens i Microsoft Sentinel TIP (Threat Intelligence Platform), klik, mail eller forbindelsesaktivitet på URL-adressen i din organisation, og tilstedeværelse i Microsoft Sentinel visningslister, blandt andre for på samme måde at give en dom og analyse.

Værktøjer til objektanalyse kan kræve et par minutter for at generere resultater, så der er værktøjer til at starte analysen for hvert objekt og et andet, der sender forespørgsler om analyseresultaterne.

Vigtigt!

Hvis du vil bruge værktøjet til objektanalyse, skal du også bruge følgende roller:

  • Security Copilot bidragyder – denne rolle er påkrævet for at bruge værktøjet, der bruger SSU'er (Security Compute Units) til at levere en begrundet risikoanalyse for enheden.
  • Security Copilot ejer (valgfrit) – denne rolle er kun påkrævet for at få vist og overvåge SCU-forbrug.

Du kan få flere oplysninger under Forstå godkendelse i Microsoft Security Copilot.

Start analyse (analyze_user_entity og analyze_url_entity)

Parametre Kræves? Beskrivelse
Microsoft Entra objekt-id, UPN (User Principal Name) eller URL-adresse Ja Denne parameter bruger den bruger eller URL-adresse, du vil analysere.
startTime Ja Denne parameter tager starttidspunktet for analysevinduet.
endTime Ja Denne parameter tager analysevinduets sluttidspunkt.
workspaceId Nej Denne parameter bruger et arbejdsområde-id til at begrænse søgningen til et enkelt forbundet Microsoft Sentinel data lake-arbejdsområde.

Disse værktøjer returnerer en id-værdi, som du kan angive for værktøjet til hentning af analyse som input.

Hent analyse (get_entity_analysis)

Parametre Kræves? Beskrivelse
analysisId Ja Denne parameter henter job-id'et, der er modtaget fra værktøjerne til startanalyse.

Selvom dette værktøj automatisk forespørger i et par minutter, indtil resultaterne er klar, er dets interne timeout muligvis ikke tilstrækkelig til lange analysehandlinger. Du skal muligvis køre den flere gange for at få resultater.

Bemærk!

Det kan være en fordel at inkludere en prompt, f.eks render the results as returned exactly from the tool. , som hjælper med at sikre, at svaret fra analysen leveres uden yderligere behandling af MCP-klienten.

Flere oplysninger

  • analyze_user_entity understøtter et maksimalt tidsrum på syv dage for at maksimere nøjagtigheden af resultaterne.

  • analyze_user_entityfungerer kun for brugere med et Microsoft Entra objekt-id (brugere). Brugere, der kun bruger Active Directory i det lokale miljø, understøttes ikke til brugeranalyse.

  • analyze_user_entity kræver, at følgende tabeller er til stede i datasøen for at sikre nøjagtigheden af analysen:

    Hvis du ikke har nogen af disse påkrævede tabeller, analyze_user_entity genereres der en fejlmeddelelse, der viser de tabeller, du ikke onboardede, sammen med links til deres tilsvarende onboardingdokumentation.

  • analyze_user_entity fungerer bedst, når følgende tabeller også findes i datasøen, men fortsætter med at arbejde og vurdere risikoen, selvom de nævnte tabeller ikke er tilgængelige:

  • analyze_url_entity fungerer bedst, når følgende tabeller er til stede i datasøen, men fortsætter med at arbejde og vurdere risikoen, selvom de nævnte tabeller ikke er tilgængelige:

    Hvis du ikke har nogen af disse tabeller, analyze_url_entity genereres et svar med en ansvarsfraskrivelse, der viser de tabeller, du ikke onboardede, sammen med links til deres tilsvarende onboardingdokumentation.

  • Hvis du kører flere forekomster af objektanalysen på samme tid, kan det øge ventetiden for hver kørsel. Hvis du vil forhindre timeout og undgå at ramme tærsklerne for eksempelvisningen af enhedsanalysen, skal du starte med at køre maksimalt fem analyser på én gang og derefter justere den efter behov baseret på, hvor ofte logikappen udløses i din organisation.

Eksempelprompter

Følgende eksempelprompter viser, hvad du kan gøre med dataindsamlingen:

  • Find de tre øverste brugere, der er i fare, og forklar, hvorfor de er i fare.
  • Find logonfejl inden for de seneste 24 timer, og giv mig en kort oversigt over vigtige resultater.
  • Identificer enheder, der viste et fremragende antal udgående netværksforbindelser.
  • Hjælp mig med at forstå, om brugerens <brugerobjekt-id> er kompromitteret.
  • Undersøg brugere med en advarsel om adgangskodesprøjtning inden for de seneste syv dage, og fortæl mig, om nogen af dem er kompromitteret.
  • Find alle URL-IOCs fra <rapporten> over trusselsanalyser, og analysér dem for at fortælle mig alt, hvad Microsoft ved om dem.

Sådan fungerer Microsoft Sentinel MCP-værktøjer sammen med din agent

Lad os se nærmere på, hvordan en agent besvarer en prompt ved dynamisk at orkestrere værktøjerne.

Eksempelprompt:Find the top three users that are at risk and explain why they're at risk.

Typisk svar (GitHub Copilot ved hjælp af Claude Sonnet 4):

Skærmbillede af et GitHub Copilot svar.

Forklaring:

  • Når agenten modtager prompten, søger den efter relevante tabeller, der indeholder oplysninger om brugerrisiko og sikkerhed. Det starter med at dekonstruere prompten i søgenøgleord for at finde tabellerne.

    I eksempelprompten identificerer søgningen fire relevante tabeller fra området for tabeller, som brugeren har adgang til:

    • AADNonInteractiveUserSignInLogs- Ikke-interaktive Microsoft Entra ID logonhændelser
    • BehaviorAnalytics – UEBA-data (User and Entity Behavior Analytics)
    • SigninLogs– Interaktive Microsoft Entra ID logonhændelser
    • AADUserRiskEvents - Registrering af identitetsbeskyttelsesrisici

    Skærmbillede af agenten, der søger efter relevante tabeller, der indeholder oplysninger om brugerrisiko og sikkerhed.

  • Agenten foretager en anden søgning ved hjælp af værktøjet Semantisk søgning på tabelkataloget (search_tables), denne gang med bredere ord, for at finde andre tabeller, som den skal forespørge om data fra for at påvirke dens begrundelse.

    Skærmbillede af agenten, der søger ved hjælp af bredere ord.

  • Agenten identificerer de relevante tabeller og bruger derefter forespørgslen Execute KQL (Kusto Query Language) på Microsoft Sentinel værktøj til datasøen (query_lake) til at forespørge efter data og finde de øverste tre brugere, der er i fare. Det første forsøg mislykkes, fordi KQL-forespørgslen har en semantisk fejl.

    Skærmbillede af agenten, der forsøger at køre en KQL-forespørgsel med en semantisk fejl.

  • Agenten retter selv KQL-forespørgslen og henter data fra Microsoft Sentinel data lake og finder de risikable brugere.

    Skærmbillede af agenten, der forsøger at køre en korrekt KQL-forespørgsel.

  • Agenten kører endnu en forespørgsel for at få detaljerede oplysninger om de risikable brugere for at give bedre kontekst om, hvorfor de er i fare.

    Skærmbillede af den agent, der kører en anden forespørgsel for at få detaljerede brugeroplysninger.

  • Agenten reagerer tilbage på brugeren med den omfattende analyse.

Relateret indhold

  • Last updated on