Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel, Microsofts sikkerhedsplatform, introducerer understøttelse af MCP (Model Context Protocol). Denne understøttelse omfatter flere scenariefokuserede samlinger af sikkerhedsværktøjer via en samlet servergrænseflade. Ved hjælp af denne support kan du interaktivt forespørge om sikkerhedsdata på et naturligt sprog og opbygge effektive sikkerhedsagenter, der kan udføre kompleks automatisering. Denne samling af sikkerhedsværktøjer hjælper sikkerhedsteams med at få kunstig intelligens ind i deres daglige sikkerhedshandlinger for at hjælpe med almindelige opgaver som f.eks. dataudforskning, bygning af agentisk automatisering og jagt efter hændelser og trusselsjagt.
Vigtige funktioner i Microsoft Sentinel understøttelse af MCP
Følgende funktioner og fordele er en del af Microsoft Sentinel MCP-servere:
Samlet, hostet grænseflade til AI-drevne sikkerhedshandlinger: Microsoft Sentinel samlede MCP-servergrænseflade er fuldt hostet, kræver ingen udrulning af infrastruktur og bruger Microsoft Entra til identitet. Sikkerhedsteams kan forbinde kompatible klienter for at strømline daglige AI-handlinger.
Scenariefokuserede sikkerhedsværktøjer og værktøjer til sikkerhed på naturligt sprog: Microsoft Sentinel mcp-understøttelse kommer gennem scenariefokuserede samlinger af brugsklare sikkerhedsværktøjer. Disse samlinger hjælper sikkerhedsteams med at interagere med og finde årsagen til sikkerhedsdata i Microsoft Sentinel datasø og Microsoft Defender ved hjælp af et naturligt sprog, så behovet for første integration af kode fjernes, dataskemaet skal forstås, eller der skrives veludformede dataforespørgsler.
Fremskyndet udvikling af effektive sikkerhedsagenter: Microsoft Sentinel samling af sikkerhedsværktøjer automatiserer registrering og hentning af sikkerhedsdata og leverer forudsigelige svar, der kan handles på, for at tilpasse agenter. Denne support fremskynder oprettelsen af en effektiv sikkerhedsagent og leverer bedre og yderst effektive sikkerhedsagenter.
Omkostningseffektiv, kontekstrig integration af sikkerhedsdata: Med datasøen kan du overføre alle dine sikkerhedsdata til Microsoft Sentinel omkostningseffektivt, så du ikke behøver at vælge mellem dækning og omkostninger. Microsoft Sentinel samling af værktøjer integreres oprindeligt med sikkerhedsdatasøen og Microsoft Defender, så du kan bygge omfattende udvikling af sikkerhedskontekst.
Du kan få flere oplysninger om, hvordan kunstig intelligens bruges i Microsoft Sentinel samlede MCP-server, under Programkort: Microsoft Sentinel MCP-server.
Introduktion til MCP
MCP (Model Context Protocol) er en åben protokol, der administrerer, hvordan sprogmodeller interagerer med eksterne værktøjer, hukommelse og kontekst på en sikker, struktureret og stateful måde. MCP bruger en klient/server-arkitektur med flere komponenter:
MCP-vært: Det AI-program, der koordinerer og administrerer en eller flere MCP-klienter.
MCP-klient: En komponent, der vedligeholder en forbindelse til en MCP-server og henter kontekst fra en MCP-server, som MCP-værten kan bruge.
MCP-server: Et program, der leverer kontekst til MCP-klienter.
Visual Studio Code fungerer f.eks. som en MCP-vært. Når Visual Studio Code opretter forbindelse til en MCP-server, f.eks. den Microsoft Sentinel MCP-server til dataudforskning, instantierer den Visual Studio Code runtime et MCP-klientobjekt, der vedligeholder forbindelsen til den tilsluttede MCP-server.
Få mere at vide om MCP-arkitektur.
Scenarier til brug af MICROSOFT SENTINEL's MCP-samlinger
Når du forbinder en kompatibel klient med Microsoft Sentinel MCP-samlinger, kan du bruge værktøjer til at:
Udforsk på en interaktiv måde langsigtede sikkerhedsdata: Sikkerhedsanalytikere og trusselsjægere, som dem, der fokuserer på identitetsbaserede angreb, skal hurtigt forespørge på og korrelere data på tværs af forskellige sikkerhedstabeller. I dag skal de have kendskab til alle tabeller, og hvilke data hver tabel indeholder. Med dataindsamlingen kan analytikere nu bruge prompter på naturligt sprog til at søge efter og hente relevante data fra tabeller i Microsoft Sentinel datasø uden at skulle huske tabeller og deres skema eller skrive veludformede KQL-forespørgsler (Kusto Query Language).
En analytiker kan f.eks. søge efter mulige insidertrusler ved at korrelere filaktivitet med Følsomhedsmærkaten Purview for at afdække tegn på dataudfiltrering, politikovertrædelser eller mistænkelig brugeradfærd, der muligvis er gået ubemærket i løbet af det oprindelige 90-180-dages/klokkeslætsvindue. Denne interaktive tilgang fremskynder opdagelsen og undersøgelsen af trusler og reducerer samtidig afhængigheden af manuelle forespørgselsformuleringer.
Kom i gang med dataudforskning i forbindelse med langsigtede data
Analysér enheder på tværs af dine sikkerhedsdata: SOC-teknikere (Security Operations Center), analytikere og endda agenter har brug for en nem måde at analysere og triage enheder på, f.eks. URL-adresser og brugere, ved hjælp af alle en organisations sikkerhedsdata. Men nutidens fragmenterede datakilder gør denne proces kompleks og tidskrævende at automatisere. Som en af de mest almindelige opgaver til sortering af hændelser bliver enhedsberigelse derfor ofte en manuel kontekstindsamlingsindsats, hvilket gør svartiderne langsommere. Med værktøjerne til objektanalyse i indsamlingen af dataudforskning har analytikere og SOC-teknikere en handling med et enkelt klik, der kan hente, begrunde og klart præsentere omfattende domme og analyser af enheder ved hjælp af sikkerhedsdataene i datasøen, hvilket gør det nemt at automatisere objektforbedring for dig og de agenter, du bygger.
Kom i gang med at analysere enheder automatisk under undersøgelser
Byg Security Copilot agenter via et naturligt sprog: SOC-teknikere bruger ofte uger på manuelt at automatisere playbooks på grund af fragmenterede datakilder og strenge skemakrav. Med værktøjerne til oprettelse af agenter kan teknikere beskrive deres hensigt på et naturligt sprog for hurtigt at bygge agenter med de rigtige instruktioner og værktøjer til AI-modeller, der er årsag til deres sikkerhedsdata, og dermed oprette automatiseringer, der er tilpasset organisationens arbejdsprocesser og processer.
Triage-hændelser og jagt efter trusler: SOC-teknikere skal prioritere hændelser hurtigt og nemt gå på jagt efter din organisations egne data uden at skulle bekymre sig om problemer med sikkerhedsarbejdsprocesser og interoperabilitet mellem platforme og værktøjer, de bruger. Triage-samlingen af værktøjer integrerer dine AI-modeller med API'er, der understøtter hændelsestriage og jagt. Denne integration reducerer den gennemsnitlige tid til løsning, risikoeksponering og dvæletid og gør dit team i stand til at udnytte kunstig intelligens til at træffe smartere og hurtigere beslutninger.