Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Sicherheits-Agents, die mit der Sammlung von MCP-Tools (Model Context Protocol) von Microsoft Sentinel erstellt wurden, können effektiv über Daten in Microsoft Sentinel. Sie können benutzerdefinierte Sentinel MCP-Tools erstellen, um präzise Kontrolle über die Daten zu erhalten, auf die Ihre Sicherheits-Agents zugreifen können, und deterministische agentische Workflows zu erstellen.
In diesem Artikel wird gezeigt, wie Sie Agents ermöglichen können, Informationen aus Ihrer Bibliothek mit gespeicherten Kusto-Abfragesprache -Abfragen (KQL) in erweiterter Suche und Sentinel Data Lake abzurufen und zu analysieren, indem Sie benutzerdefinierte MCP-Tools erstellen.
Voraussetzungen
Um benutzerdefinierte Microsoft Sentinel MCP-Tools zu erstellen, benötigen Sie die folgenden Voraussetzungen:
- Microsoft Sentinel Data Lake- und Microsoft Defender-Lizenzen
- Sicherheitsoperator, Sicherheits-Admin oder Globale Admin Rolle zum Erstellen, Aktualisieren oder Löschen benutzerdefinierter Tools
- Rolle "Sicherheitsleser " oder "Globaler Leser " zum Auflisten und Aufrufen von benutzerdefinierten Tools
Erstellen benutzerdefinierter Tools mit KQL-Abfragen
Verwenden Sie erweiterte Huntingabfragen in Microsoft Defender Portal und KQL-Abfragen in Microsoft Sentinel Data Lake, um Sicherheitsdaten zu finden und zu ermitteln, die Sie in agentischen Workflows verwenden können. Mit diesem Ansatz können Sie den Typ und die Menge der Informationen steuern, über die Ihre Agents informiert werden können. Wenn Sie überprüfen, ob eine Abfrage die Daten abruft, mit denen Ihr Agent ermitteln soll, speichern Sie sie als benutzerdefiniertes MCP-Tool.
Führen Sie die folgenden Schritte aus, um eine KQL-Abfrage als MCP-Tool zu speichern:
Suchen Sie auf der Seite Erweiterte Suche in Microsoft Defender die Sicherheitsdaten, die Sie in Ihren agentic-Flows verwenden möchten, aus Ihren manuell erstellten KQL-Abfragen oder ihrer Bibliothek gespeicherter Abfragen, und öffnen Sie sie dann im Abfragefenster.
Wählen Sie in einer der folgenden Defender-Portaloberflächen die Option Als Tool speichern aus:
Kontextmenü einer Abfrage
KQL-Abfragefeldmenü einer Abfrage
Geben Sie im daraufhin angezeigten Flyout tool save (Tool-Flyout speichern) die folgenden Details ein:
Namen: Ein auffindbarer Name für Ihr Tool, mit dem KI-Modelle das Tool für bestimmte Aufgaben richtig identifizieren und auswählen können.
Beschreibung: Die Beschreibung des Tools. Weitere Informationen finden Sie unter Bewährte Methoden zum Erstellen von Toolbeschreibungen.
Auflistung: Wählen Sie aus, ob Sie das Tool einer vorhandenen Toolsammlung hinzufügen oder eine neue erstellen möchten, indem Sie Neue Sammlung erstellen auswählen.
Standardarbeitsbereich: Der Standardarbeitsbereich, den Ihr Agent als Hinweis verwenden soll, wenn eine Eingabeaufforderung keine Arbeitsbereiche angibt.
Parameter (optional): Die anpassbaren Eingaben, die das Tool unterstützt. Sie können einige der Werte in Ihrer KQL-Abfrage in Parameter konvertieren, die dem
{ParamaterName}Format folgen, und dann deren Parametername und Beschreibung hinzufügen, damit der Agent ein gutes Verständnis dafür hat, wie sie basierend auf dem verfügbaren Konversationskontext aufgefüllt werden.
Klicken Sie auf Speichern.
Anzeigen gespeicherter benutzerdefinierter MCP-Tools
Um die benutzerdefinierten MCP-Tools anzuzeigen, die Sie aus erweiterten Huntingabfragen gespeichert haben, wechseln Sie auf der Seite Erweiterte Suche zur Registerkarte Tools.
Bewährte Methoden zum Erstellen von Toolbeschreibungen
Wenn Sie Ihr benutzerdefiniertes Tool speichern, sind der Name und, was noch wichtiger ist, seine Beschreibung entscheidend für die Identifizierung und Auswahl für bestimmte Aufgaben. Die folgenden bewährten Methoden und Überlegungen können bei der Beschreibung Ihres Tools hilfreich sein:
Halten Sie es kurz und handlungsorientiert. Verwenden Sie ein bis zwei Sätze, die mit einem klaren Verb und einer eindeutigen Ressource beginnen (z. B. "Ruft Überwachungsprotokolldaten für einen bestimmten Benutzer ab"). Vermeiden Sie Jargon oder zu technische Ausdrücke.
Konzentrieren Sie sich auf den Zweck, nicht auf Parameter. Beschreiben sie die Funktionsweise des Tools und seinen primären Anwendungsfall. Belassen Sie Parameterdetails für das Schema, nicht für die Beschreibung.
Fügen Sie Workflowhinweise nur ein, wenn sie kritisch sind. Wenn ein Tool einen erforderlichen Schritt erfordert (z. B. "Zuerst aufrufen
risky_users_tool"), Erwähnung es kurz, um Missbrauch zu verhindern.Optimieren Sie die Auffindbarkeit und Übersichtlichkeit. Verwenden Sie konsistente Benennungen, vermeiden Sie mehrdeutige Begriffe, und stellen Sie sicher, dass KI-Modelle und Benutzer mithilfe von Beschreibungen schnell das richtige Tool auswählen können.
Verwenden von benutzerdefinierten Tools in benutzerdefinierten Agents und Codierungsplattformen
Weitere Informationen zur Verwendung Ihrer benutzerdefinierten Toolsammlung in Ihren Sicherheits-Agents finden Sie in den Artikeln für die folgenden KI-gestützten Code-Editoren und Plattformen zum Erstellen von Agents: