Erkunden Microsoft Sentinel Data Lake mit Datenuntersuchungssammlung

Wichtig

Einige Informationen beziehen sich auf ein Vorabrelease-Produkt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Mit der Sammlung des Datenuntersuchungstools auf dem MCP-Server (Microsoft Sentinel Model Context Protocol) können Sie in natürlicher Sprache nach relevanten Tabellen suchen und Daten aus dem Data Lake Microsoft Sentinel abrufen.

Voraussetzungen

Für den Zugriff auf die Sammlung des Datenuntersuchungstools benötigen Sie die folgenden Voraussetzungen:

Wichtig

Der Zugriff auf Sentinel MCP-Tools wird für Benutzer, verwaltete Identitäten oder Dienstprinzipale unterstützt, denen mindestens eine der folgenden Rollen zugewiesen ist:

  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter

Hinzufügen der Datenuntersuchungssammlung

Um die Datenuntersuchungssammlung hinzuzufügen, richten Sie zunächst Microsoft Sentinel einheitliche MCP-Serverschnittstelle ein. Befolgen Sie die Schrittweisen Anweisungen für kompatible KI-gestützte Code-Editoren und Agent-Erstellungsplattformen.

Die Datenuntersuchungssammlung wird unter der folgenden URL gehostet:

https://sentinel.microsoft.com/mcp/data-exploration

Tools in der Datenuntersuchungssammlung

Semantische Suche im Tabellenkatalog (search_tables)

Dieses Tool ermittelt Data Lake-Tabellen, die für eine bestimmte Eingabe in natürlicher Sprache relevant sind, und gibt Schemadefinitionen zurück, um die Abfrageerstellung zu unterstützen. Verwenden Sie dieses Tool, um Tabellen zu ermitteln, ein Schema zu verstehen oder gültige KQL-Abfragen (Kusto-Abfragesprache) für einen Microsoft Sentinel Arbeitsbereich zu erstellen. Sie können es auch verwenden, um unbekannte Datenquellen zu untersuchen oder relevante Tabellen für eine bestimmte Untersuchungs- oder Analyseaufgabe zu identifizieren.

Parameter Pflichtfeld? Beschreibung
query Ja Dieser Parameter verwendet Schlüsselwörter, um in den verbundenen Arbeitsbereichen nach relevanten Tabellen zu suchen.
workspaceId Nein Dieser Parameter verwendet einen Arbeitsbereichsbezeichner, um die Suche auf einen einzelnen verbundenen Microsoft Sentinel Data Lake-Arbeitsbereich zu beschränken.

Unterstützte Tabellen

Dieses Tool unterstützt Azure Monitor Log Analytics. Eine vollständige Liste der Tabellen finden Sie unter Azure Überwachen von Log Analytics-Protokolltabellen nach Kategorie.

Außerdem werden die meisten Microsoft Sentinel Tabellen unterstützt, die in Microsoft Sentinel Tabellen und zugeordneten Connectors aufgeführt sind. Die folgenden Tabellen werden nicht unterstützt:

Nicht unterstützte Microsoft Sentinel Tabellen
  • AliCloudActionTrailLogs_CL
  • argsentdc_CL
  • Audit_CL
  • Auth0Logs_CL
  • Awareness_Performance_Details_CL
  • Awareness_SafeScore_Details_CL
  • Awareness_User_Data_CL
  • Awareness_Watchlist_Details_CL
  • CarbonBlack_Alerts_CL
  • Cisco_Umbrella_proxy_CL
  • Cloud_Integrated_CL
  • CloudGuard_SecurityEvents_CL
  • ConfluenceAuditLogs_CL
  • CortexXpanseAlerts_CL
  • CyberSixgill_Alerts_CL
  • DruvaSecurityEvents_CL
  • DynatraceAttacks_CL
  • DynatraceAuditLogs_CL
  • DynatraceProblems_CL
  • DynatraceSecurityProblems_CL
  • ErmesBrowserSecurityEvents_CL
  • FireworkV2_CL
  • Garrison_ULTRARemoteLogs_CL
  • GCPLoadBalancerLogs_CL
  • GitHubAuditLogsV2_CL
  • Health_Data_CL
  • Illumio_Flow_Events_CL
  • IllumioInsightsSummary_CL
  • iocsent_CL
  • Island_Admin_CL
  • Island_User_CL
  • JBossEvent_CL
  • LookoutMtdV2_CL
  • ObsidianActivity_CL
  • ObsidianThreat_CL
  • Onapsis_Defend_CL
  • OneTrustMetadataV3_CL
  • OracleWebLogicServer_CL
  • PaloAltoCortexXDR_Alerts_CL
  • PaloAltoCortexXDR_Audit_Agent_CL
  • PaloAltoCortexXDR_Audit_Management_CL
  • PaloAltoCortexXDR_Endpoints_CL
  • Phosphorus_CL
  • PingOne_AuditActivitiesV2_CL
  • PrismaCloudCompute_CL
  • ProofpointPODMailLog_CL
  • ProofpointPODMessage_CL
  • ProofPointTAPClicksBlockedV2_CL
  • ProofPointTAPMessagesBlockedV2_CL
  • RSAIDPlus_AdminLogs_CL
  • SAPLogServ_CL
  • Seg_Cg_CL
  • Seg_Dlp_CL
  • SeraphicWebSecurity_CL
  • SlackAuditV2_CL
  • Tenable_WAS_Asset_CL
  • TransmitSecurityActivity_CL
  • Ttp_Attachment_CL
  • Ttp_Impersonation_CL
  • Ttp_Url_CL
  • Ubiquiti_CL
  • ValenceAlert_CL
  • vcenter_CL
  • ZimperiumThreatLog_CL
  • ZNSegmentAuditNativePoller_CL

Ausführen einer KQL-Abfrage (Kusto-Abfragesprache) für Microsoft Sentinel Data Lake (query_lake)

Dieses Tool führt eine einzelne KQL-Abfrage für einen angegebenen Microsoft Sentinel Data Lake-Arbeitsbereich aus und gibt das rohe Resultset zurück. Es ist für fokussierte Ermittlungen oder analytische Abrufe und nicht für den Massenexport konzipiert. Verwenden Sie dieses Tool, um einen Untersuchungs- oder Analyseworkflow voranzutreiben und Sicherheitsereignis-, Warnungs-, Ressourcen-, Identitäts-, Geräte- oder Anreicherungsdaten abzurufen. Sie können es auch zusammen mit dem search_tables Tool verwenden, um relevante Tabellenschemas zu identifizieren und gültige KQL-Abfragen zu erstellen.

Parameter Pflichtfeld? Beschreibung
query Ja Dieser Parameter verwendet eine wohlgeformte KQL-Abfrage, um Daten aus einem Microsoft Sentinel Data Lake-Arbeitsbereich abzurufen.
workspaceId Nein Dieser Parameter verwendet einen Arbeitsbereichsbezeichner, um die Suche auf einen einzelnen verbundenen Microsoft Sentinel Data Lake-Arbeitsbereich zu beschränken.

Auflisten von Arbeitsbereichen (list_sentinel_workspaces)

Dieses Tool listet alle Microsoft Sentinel Namen- und ID-Paare des Data Lake-Arbeitsbereichs auf, die Ihnen zur Verfügung stehen. Das Einschließen des Arbeitsbereichsnamens bietet Ihnen hilfreichen Kontext, um zu verstehen, welcher Arbeitsbereich verwendet wird. Führen Sie dieses Tool aus, bevor Sie andere Microsoft Sentinel Tools verwenden, da diese Tools ein Argument für die Arbeitsbereichs-ID benötigen, um ordnungsgemäß zu funktionieren.

Entitätsanalyse

Diese Tools verwenden KI, um die Daten Ihrer organization im Microsoft Sentinel Data Lake zu analysieren. Sie bieten eine Bewertung und detaillierte Einblicke in URLs, Domänen und Benutzerentitäten. Sie tragen dazu bei, die Notwendigkeit einer manuellen Datensammlung und komplexer Integrationen zu vermeiden, die normalerweise zum Anreichern und Untersuchen von Entitäten erforderlich sind.

Zum Beispiel analyze_user_entity Gründe für die Authentifizierungsmuster des Benutzers, Verhaltensanomalien, Aktivitäten innerhalb Ihres organization und mehr, um eine Bewertung und Analyse zu liefern. analyze_url_entity In der Zwischenzeit, Gründe für Threat Intelligence von Microsoft, Ihre benutzerdefinierte Threat Intelligence in Microsoft Sentinel Threat Intelligence-Plattform (TIP), Klick-, E-Mail- oder Verbindungsaktivitäten auf der URL in Ihrem organization und Anwesenheit in Microsoft Sentinel Watchlists, um auf ähnliche Weise eine Bewertung und Analyse bereitzustellen.

Entitätsanalysetools benötigen möglicherweise einige Minuten, um Ergebnisse zu generieren. Daher gibt es Tools zum Starten der Analyse für jede Entität und eine andere, die die Analyseergebnisse abruft.

Wichtig

Um das Entity Analyzer-Tool verwenden zu können, benötigen Sie auch die folgenden Rollen:

  • Security Copilot Mitwirkender: Diese Rolle ist erforderlich, um das Tool zu verwenden, das Sicherheitscomputeeinheiten (SCUs) nutzt, um eine begründete Risikoanalyse für Entitäten bereitzustellen.
  • Security Copilot Besitzer (optional): Diese Rolle ist nur erforderlich, um die SCU-Nutzung anzuzeigen und zu überwachen.

Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung in Microsoft Security Copilot.

Analyse starten (analyze_user_entity und analyze_url_entity)

Parameter Pflichtfeld? Beschreibung
Microsoft Entra Objekt-ID, Benutzerprinzipalname (UPN) oder URL Ja Dieser Parameter akzeptiert den Benutzer oder die URL, den Sie analysieren möchten.
startTime Ja Dieser Parameter verwendet die Startzeit des Analysefensters.
endTime Ja Dieser Parameter benötigt die Endzeit des Analysefensters.
workspaceId Nein Dieser Parameter verwendet einen Arbeitsbereichsbezeichner, um die Suche auf einen einzelnen verbundenen Microsoft Sentinel Data Lake-Arbeitsbereich zu beschränken.

Diese Tools geben einen Bezeichnerwert zurück, den Sie dem Tool für die Abrufanalyse als Eingabe bereitstellen können.

Abrufen der Analyse (get_entity_analysis)

Parameter Pflichtfeld? Beschreibung
analysisId Ja Dieser Parameter akzeptiert den Auftragsbezeichner, der von den Startanalysetools empfangen wurde.

Obwohl dieses Tool einige Minuten lang automatisch abruft, bis die Ergebnisse bereit sind, reicht das interne Timeout möglicherweise nicht für lange Analysevorgänge aus. Möglicherweise müssen Sie sie mehrmals ausführen, um Ergebnisse zu erhalten.

Hinweis

Es kann von Vorteil sein, eine Eingabeaufforderung wie render the results as returned exactly from the tooleinzuschließen, um sicherzustellen, dass die Antwort des Analysetools ohne zusätzliche Verarbeitung durch den MCP-Client bereitgestellt wird.

Weitere Informationen

  • analyze_user_entity unterstützt ein maximales Zeitfenster von sieben Tagen, um die Genauigkeit der Ergebnisse zu maximieren.

  • analyze_user_entityfunktioniert nur für Benutzer mit einer Microsoft Entra Objekt-ID (Benutzer). Nur lokale Active Directory-Benutzer werden für die Benutzeranalyse nicht unterstützt.

  • analyze_user_entity erfordert, dass die folgenden Tabellen im Data Lake vorhanden sind, um die Genauigkeit der Analyse sicherzustellen:

    Wenn Sie nicht über eine dieser erforderlichen Tabellen verfügen, wird eine Fehlermeldung generiert, analyze_user_entity in der die Tabellen aufgeführt sind, die Sie nicht integriert haben, sowie Links zu der entsprechenden Onboardingdokumentation.

  • analyze_user_entity funktioniert am besten, wenn die folgenden Tabellen auch im Data Lake vorhanden sind, aber weiterhin funktionieren und risiken bewertet werden, auch wenn die genannten Tabellen nicht verfügbar sind:

  • analyze_url_entity funktioniert am besten, wenn die folgenden Tabellen im Data Lake vorhanden sind, aber weiterhin funktionieren und das Risiko bewerten, auch wenn die genannten Tabellen nicht verfügbar sind:

    Wenn Sie über keine dieser Tabellen verfügen, analyze_url_entity generiert eine Antwort mit einem Haftungsausschluss, der die Tabellen auflistet, die Sie nicht integriert haben, sowie Links zu der entsprechenden Onboardingdokumentation.

  • Das gleichzeitige Ausführen mehrerer Instanzen des Entity Analyzers kann die Latenz für jede Ausführung erhöhen. Um Timeouts zu vermeiden und das Erreichen der Vorschauschwellenwerte der Entitätsanalyse zu vermeiden, führen Sie zunächst maximal fünf Analysen gleichzeitig aus, und passen Sie sie dann je nach Bedarf an, wie oft die Logik-App in Ihrem organization ausgelöst wird.

Beispieleingabeaufforderungen

Die folgenden Beispielaufforderungen veranschaulichen, was Sie mit der Datenuntersuchungssammlung tun können:

  • Suchen Sie die drei am häufigsten gefährdeten Benutzer, und erklären Sie, warum sie gefährdet sind.
  • Finden Sie Anmeldefehler in den letzten 24 Stunden, und geben Sie mir eine kurze Zusammenfassung der wichtigsten Ergebnisse.
  • Identifizieren Sie Geräte, bei denen eine ausstehende Anzahl ausgehender Netzwerkverbindungen angezeigt wurde.
  • Helfen Sie mir zu verstehen, ob die Benutzerobjekt-ID> des Benutzers <kompromittiert ist.
  • Untersuchen Sie Benutzer mit einer Kennwortspray-Warnung in den letzten sieben Tagen, und teilen Sie mir mit, ob einer von ihnen kompromittiert ist.
  • Suchen Sie alle URL-IOCs aus <dem Bericht> zur Bedrohungsanalyse, und analysieren Sie sie, um mir alles zu sagen, was Microsoft darüber weiß.

Wie Microsoft Sentinel MCP-Tools zusammen mit Ihrem Agent funktionieren

Sehen wir uns genauer an, wie ein Agent eine Eingabeaufforderung beantwortet, indem er die Tools dynamisch orchestriert.

Beispieleingabeaufforderung:Find the top three users that are at risk and explain why they're at risk.

Typische Antwort (GitHub Copilot mit Claude Sonnet 4):

Screenshot einer GitHub Copilot Antwort.

Erklärung:

  • Wenn der Agent die Eingabeaufforderung empfängt, sucht er nach relevanten Tabellen, die Benutzerrisiko- und Sicherheitsinformationen enthalten. Zunächst wird die Eingabeaufforderung in Suchbegriffe dekonstruiert, um die Tabellen zu finden.

    In der Beispielaufforderung werden vier relevante Tabellen aus dem Bereich der Tabellen identifiziert, auf die der Benutzer Zugriff hat:

    • AADNonInteractiveUserSignInLogs– Nicht interaktive Microsoft Entra ID Anmeldeereignisse
    • BehaviorAnalytics – UEBA-Daten (User and Entity Behavior Analytics)
    • SigninLogs– Interaktive Microsoft Entra ID Anmeldeereignisse
    • AADUserRiskEvents – Identity Protection-Risikoerkennungen

    Screenshot des Agents, der nach relevanten Tabellen sucht, die Benutzerrisiko- und Sicherheitsinformationen enthalten.

  • Der Agent führt eine weitere Suche durch, indem er das Tool semantische Suche für Tabellenkatalog (search_tables) verwendet, dieses Mal mit umfassenderen Begriffen, um andere Tabellen zu finden, von denen er Daten abfragen soll, um die Argumentation zu beeinflussen.

    Screenshot des Agents, der mit allgemeineren Begriffen sucht

  • Der Agent identifiziert die relevanten Tabellen und verwendet dann das Tool Execute KQL (Kusto-Abfragesprache) für Microsoft Sentinel Data Lake (query_lake), um Daten abzufragen und die drei am häufigsten gefährdeten Benutzer zu finden. Der erste Versuch schlägt fehl, da die KQL-Abfrage einen semantischen Fehler aufweist.

    Screenshot des Agents, der versucht, eine KQL-Abfrage mit einem semantischen Fehler auszuführen.

  • Der Agent korrigiert die KQL-Abfrage selbst und ruft erfolgreich Daten aus Microsoft Sentinel Data Lake ab, wobei die riskanten Benutzer gefunden werden.

    Screenshot des Agents, der versucht, eine korrigierte KQL-Abfrage auszuführen.

  • Der Agent führt eine weitere Abfrage aus, um detaillierte Informationen zu den risikobehafteten Benutzern zu erhalten, um einen besseren Kontext dazu bereitzustellen, warum sie gefährdet sind.

    Screenshot des Agents, der eine weitere Abfrage ausführt, um detaillierte Benutzerinformationen zu erhalten.

  • Der Agent antwortet dem Benutzer mit seiner umfassenden Analyse.

Verwandte Inhalte

  • Last updated on