Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie die MCP-Sammlung (Model Context Protocol) von Microsoft Sentinel einrichten und verwenden, um Abfragen in natürlicher Sprache für Ihre Sicherheitsdaten zu ermöglichen. Sentinel-Unterstützung für MCP ermöglicht es Sicherheitsteams, KI in ihre Sicherheitsvorgänge zu integrieren, indem KI-Modelle standardmäßig auf Sicherheitsdaten zugreifen können.
Sentinel Sammlung von Sicherheitstools funktioniert mit mehreren Clients und Automatisierungsplattformen. Sie können diese Tools verwenden, um nach relevanten Tabellen zu suchen und Daten abzurufen, Entitäten zu analysieren, Incidents zu selektieren, nach Bedrohungen zu suchen und andere Aufgaben auszuführen.
Voraussetzungen
Für die meisten Tools im Microsoft Sentinel MCP-Server müssen Sie in den Microsoft Sentinel Data Lake integriert sein, um sie verwenden zu können.
Für andere Tools müssen Sie möglicherweise auch in mindestens eines der folgenden Produkte integriert werden:
- Microsoft Sentinel im Microsoft Defender-Portal
- Microsoft Defender XDR oder Microsoft Defender for Endpoint
- Microsoft Security Copilot
Weitere Informationen zu den spezifischen Produktvoraussetzungen einer Toolsammlung finden Sie in den entsprechenden Artikeln.
Außerdem benötigen Sie die Rolle "Sicherheitsleseberechtigter", um Sentinel Sammlung von MCP-Tools aufzulisten und aufzurufen. Mit der Sammlung des Selektierungstools können Sie jedes Tool verwenden, das Ihnen ihre vorhandenen Berechtigungen gewähren.
Hinzufügen der MCP-Tools-Sammlung von Microsoft Sentinel
Weitere Informationen zum Hinzufügen der SAMMLUNG von MCP-Tools von Microsoft Sentinel finden Sie in den Artikeln für die folgenden KI-gestützten Code-Editoren und Agent-Erstellungsplattformen:
Testen Der hinzugefügten Tools mit Beispieleingabeaufforderungen
Nachdem Sie Microsoft Sentinel Sammlung von Tools hinzugefügt haben, verwenden Sie die folgenden Beispielaufforderungen, um mit Daten in Ihrem Microsoft Sentinel Data Lake zu interagieren.
- Suchen Sie die drei am häufigsten gefährdeten Benutzer, und erklären Sie, warum sie gefährdet sind.
- Finden Sie Anmeldefehler in den letzten 24 Stunden, und geben Sie mir eine kurze Zusammenfassung der wichtigsten Ergebnisse.
- Identifizieren Sie Geräte, bei denen eine ausstehende Anzahl ausgehender Netzwerkverbindungen angezeigt wurde.
- Helfen Sie mir zu verstehen, ob die Benutzerobjekt-ID> des Benutzers <kompromittiert ist.
- Untersuchen Sie Benutzer mit einer Kennwortspray-Warnung in den letzten sieben Tagen, und teilen Sie mir mit, ob einer von ihnen kompromittiert ist.
- Suchen Sie alle URL-IOCs aus <dem Bericht> zur Bedrohungsanalyse, und analysieren Sie sie, um mir alles zu sagen, was Microsoft darüber weiß.
Informationen dazu, wie Agents diese Tools aufrufen, um diese Eingabeaufforderungen zu beantworten, finden Sie unter So funktionieren Microsoft Sentinel MCP-Tools zusammen mit Ihrem Agent.
Deaktivieren Microsoft Sentinel MCP-Toolzugriffs
Wenden Sie sich an den Kundensupport, um Den Zugriff auf die Sammlung von MCP-Tools von Microsoft Sentinel zu deaktivieren.