Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel kan du se, hvordan du konfigurerer og bruger mcP-samlingen (Model Context Protocol) for Microsoft Sentinel til at aktivere forespørgsler på naturligt sprog i forhold til dine sikkerhedsdata. Sentinel understøttelse af MCP gør det muligt for sikkerhedsteams at indføre kunstig intelligens i deres sikkerhedshandlinger ved at tillade AI-modeller at få adgang til sikkerhedsdata på en standard måde.
Sentinel samling af sikkerhedsværktøjer fungerer sammen med flere klienter og automatiseringsplatforme. Du kan bruge disse værktøjer til at søge efter relevante tabeller og hente data, analysere enheder, triagehændelser, jage efter trusler og andre opgaver.
Forudsætninger
De fleste af værktøjerne i Microsoft Sentinel MCP-serveren kræver, at du er onboardet til den Microsoft Sentinel datasø for at bruge dem.
Andre værktøjer kan også få brug for, at du er onboardet til mindst et af følgende produkter:
- Microsoft Sentinel på Microsoft Defender portal
- Microsoft Defender XDR eller Microsoft Defender for Endpoint
- Microsoft Security Copilot
Du kan få flere oplysninger om en værktøjssamlings specifikke produktforudsætningerne i deres respektive artikler.
Du skal også bruge rollen Sikkerhedslæser for at få vist og aktivere Sentinel samling af MCP-værktøjer. Med triageværktøjssamlingen kan du bruge et hvilket som helst værktøj, som dine eksisterende tilladelser giver dig.
Tilføj Microsoft Sentinel samling af MCP-værktøjer
Du kan få flere oplysninger om, hvordan du tilføjer Microsoft Sentinel samling af MCP-værktøjer, i artiklerne om følgende AI-drevne kodeeditorer og platforme til agentoprettelse:
Test dine tilføjede værktøjer med eksempelprompter
Når du har tilføjet Microsoft Sentinel samling af værktøjer, kan du bruge følgende eksempelprompter til at interagere med data i din Microsoft Sentinel data lake.
- Find de tre øverste brugere, der er i fare, og forklar, hvorfor de er i fare.
- Find logonfejl inden for de seneste 24 timer, og giv mig en kort oversigt over vigtige resultater.
- Identificer enheder, der viste et fremragende antal udgående netværksforbindelser.
- Hjælp mig med at forstå, om brugerens <brugerobjekt-id> er kompromitteret.
- Undersøg brugere med en advarsel om adgangskodesprøjtning inden for de seneste syv dage, og fortæl mig, om nogen af dem er kompromitteret.
- Find alle URL-IOCs fra <rapporten> over trusselsanalyser, og analysér dem for at fortælle mig alt, hvad Microsoft ved om dem.
Hvis du vil vide, hvordan agenter aktiverer disse værktøjer for at besvare disse prompter, skal du se Sådan fungerer Microsoft Sentinel MCP-værktøjer sammen med din agent.
Deaktiver Microsoft Sentinel adgang til MCP-værktøjer
Hvis du vil slå din adgang til Microsoft Sentinel samling af MCP-værktøjer fra, skal du kontakte kundesupport.