Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
¿Qué es una tarjeta de aplicación o plataforma?
Las tarjetas de aplicación y plataforma de Microsoft están diseñadas para ayudarle a comprender cómo funciona nuestra tecnología de inteligencia artificial, las opciones que los propietarios de aplicaciones pueden hacer que influya en el rendimiento y el comportamiento de la aplicación, y la importancia de tener en cuenta toda la aplicación, incluida la tecnología, las personas y el entorno. Las tarjetas de aplicación se crean para aplicaciones de inteligencia artificial y las tarjetas de plataforma se crean para los servicios de plataforma de IA. Estos recursos pueden admitir el desarrollo o la implementación de sus propias aplicaciones y pueden compartirse con usuarios o partes interesadas afectados por ellas.
Como parte de su compromiso con la inteligencia artificial responsable, Microsoft se adhiere a seis principios básicos: equidad, confiabilidad y seguridad, privacidad y seguridad, inclusión, transparencia y responsabilidad. Estos principios se insertan en la Standard de inteligencia artificial responsable, que guía a los equipos en el diseño, la compilación y la prueba de aplicaciones de inteligencia artificial. Las tarjetas de aplicación y plataforma desempeñan un papel clave en la puesta en marcha de estos principios al ofrecer transparencia sobre las funcionalidades, los usos previstos y las limitaciones. Para obtener más información, se recomienda a los lectores que exploren el Informe de transparencia de IA responsable de Microsoft y el Código de conducta de Microsoft Enterprise AI Services (para organizaciones) o la sección Código de conducta del Contrato de servicios de Microsoft (para individuos), ambos describen cómo interactuar con la inteligencia artificial de forma responsable.
Información general
Microsoft Sentinel servidor MCP es una aplicación del lado servidor basada en el Protocolo de contexto de modelo (MCP). MCP es un protocolo abierto que administra cómo interactúan los modelos de lenguaje de inteligencia artificial con herramientas externas, memoria y contexto de forma segura, estructurada y con estado. Microsoft Sentinel servidor MCP proporciona una interfaz unificada y hospedada que permite a los equipos de seguridad incorporar la inteligencia artificial a sus operaciones de seguridad diarias. Conecta modelos de inteligencia artificial con datos de seguridad estructurados en el lago de datos de Microsoft Sentinel y Microsoft Defender. Los analistas pueden consultar, analizar y actuar sobre datos de seguridad mediante lenguaje natural en lugar de escribir consultas complejas manualmente. Este enfoque elimina las barreras a la búsqueda de amenazas, la evaluación de incidentes y las investigaciones de seguridad al permitir que los agentes de inteligencia artificial detecten datos pertinentes, analicen entidades y compilen flujos de trabajo de automatización en nombre de profesionales de seguridad.
La aplicación está diseñada para equipos de seguridad empresariales, incluidos analistas de seguridad, investigadores de seguridad, cazadores de amenazas e ingenieros de Security Operations Center (SOC). Estos profesionales pueden conectar clientes compatibles con IA(por ejemplo, Visual Studio Code, Microsoft Security Copilot, Microsoft Copilot Studio, Microsoft Foundry, ChatGPT y Claude) a la Microsoft Sentinel servidor MCP. Pueden usar mensajes de lenguaje natural para interactuar con los datos de seguridad. Este enfoque elimina la necesidad de integración con el primer código, la comprensión de esquemas de datos complejos o la escritura de consultas de Lenguaje de consulta Kusto bien formadas (KQL).
Para obtener más información, consulte ¿Qué es la compatibilidad de Microsoft Sentinel con MCP? y Introducción a Microsoft Sentinel servidor MCP.
Términos clave
En la tabla siguiente se proporciona un glosario de términos clave relacionados con Microsoft Sentinel servidor MCP.
| Término | Descripción |
|---|---|
| Lago de datos | Un sistema de almacenamiento nativo de nube centralizado que ingiere, almacena y analiza grandes volúmenes de datos de seguridad diversos a escala. Microsoft Sentinel lago de datos proporciona retención rentable a largo plazo y análisis avanzados para los datos de seguridad. |
| Entidad | Objeto discreto de interés en una investigación de seguridad, como una cuenta de usuario, una dirección URL, un dominio, una dirección IP, un archivo o un dispositivo. El análisis de entidades ayuda a los analistas a comprender el riesgo y el contexto en torno a estos objetos. |
| Lenguaje de consulta Kusto (KQL) | Lenguaje de consulta que se usa para recuperar y analizar datos de Microsoft Sentinel lago de datos y otros almacenes de datos Azure. KQL permite a los usuarios filtrar, agregar y visualizar grandes conjuntos de datos. |
| Protocolo de contexto de modelo (MCP) | Protocolo abierto que administra cómo interactúan los modelos de lenguaje de inteligencia artificial con herramientas externas, memoria y contexto. MCP usa una arquitectura cliente-servidor que comprende un host MCP (la aplicación de inteligencia artificial), un cliente MCP (que mantiene una conexión a un servidor) y un servidor MCP (que proporciona contexto y herramientas a los clientes). |
| Cliente MCP | Componente dentro de una aplicación con tecnología de inteligencia artificial (como Visual Studio Code o ChatGPT) que mantiene una conexión a un servidor MCP y recupera el contexto para que la aplicación host la use. |
| Host MCP | La aplicación de inteligencia artificial que coordina y administra uno o varios clientes MCP. Algunos ejemplos son Visual Studio Code, Microsoft Security Copilot y ChatGPT. |
| Servidor MCP | Un programa que proporciona contexto, herramientas y acceso estructurado a los datos a los clientes mcp. Microsoft Sentinel servidor MCP es un servidor MCP totalmente hospedado que no requiere ninguna implementación de infraestructura. |
| Microsoft Entra | El servicio de administración de identidades y acceso de Microsoft, que se usa para la autenticación y autorización al conectarse al servidor MCP de Microsoft Sentinel. |
| Security Copilot | La asistente de seguridad con tecnología de inteligencia artificial de Microsoft que se integra con Microsoft Sentinel herramientas mcp para ayudar a los profesionales de seguridad a investigar amenazas, evaluar incidentes y crear flujos de trabajo de seguridad automatizados. |
| Security Operations Center (SOC) | Un equipo centralizado dentro de una organización responsable de supervisar, detectar, analizar y responder a amenazas e incidentes de ciberseguridad. |
| Colección de herramientas | Agrupación lógica de herramientas MCP relacionadas y centradas en escenarios dentro del servidor mcp Microsoft Sentinel. Las colecciones disponibles incluyen la exploración de datos, la creación de agentes y la evaluación de prioridades. |
Características o funcionalidades clave
Las características y funcionalidades clave que se describen aquí describen qué Microsoft Sentinel servidor MCP está diseñado para hacer y cómo se realiza en todas las tareas admitidas.
| Característica | Descripción |
|---|---|
| Interfaz unificada y hospedada para operaciones de seguridad controladas por inteligencia artificial | Microsoft Sentinel servidor MCP está totalmente hospedado y no requiere ninguna implementación de infraestructura del cliente. Usa Microsoft Entra para la identidad y la autenticación, lo que permite a los equipos de seguridad conectar clientes compatibles y empezar inmediatamente a realizar operaciones de seguridad con tecnología de inteligencia artificial sin administrar servidores ni infraestructura de red. |
| Exploración de datos de lenguaje natural | La colección de herramientas de exploración de datos permite a los analistas de seguridad buscar tablas pertinentes, recuperar datos y consultar el lago de datos Microsoft Sentinel mediante solicitudes de lenguaje natural. Esta característica elimina la necesidad de comprender esquemas de datos complejos o escribir consultas KQL bien formadas manualmente, lo que acelera la detección y la investigación de amenazas. |
| Análisis de entidades con tecnología de inteligencia artificial | Las herramientas del analizador de entidades usan la inteligencia artificial para evaluar el riesgo de las cuentas de usuario, las direcciones URL y los dominios mediante el razonamiento sobre los patrones de autenticación, las anomalías de comportamiento, la inteligencia sobre amenazas y los datos de actividad de la organización. Proporcionan un veredicto y conclusiones detalladas en una sola acción, lo que elimina el esfuerzo manual de recopilación de datos que tradicionalmente se requiere para el enriquecimiento de entidades. |
| Creación acelerada del agente de seguridad | La colección de herramientas de creación de agentes permite a los ingenieros de SOC describir su intención de automatización en lenguaje natural y crear rápidamente agentes de Microsoft Security Copilot con las instrucciones adecuadas del modelo de inteligencia artificial y las configuraciones de herramientas. Esta característica reduce drásticamente las semanas de esfuerzo que normalmente se requieren para automatizar manualmente los cuadernos de estrategias de seguridad. |
| Clasificación de incidentes y búsqueda de amenazas | La colección de herramientas de evaluación de prioridades integra modelos de inteligencia artificial con api de Microsoft Defender para admitir la priorización rápida de incidentes y la búsqueda proactiva de amenazas. Los analistas pueden capturar incidentes, alertas, evidencias y datos de entidad, y ejecutar consultas de búsqueda avanzadas, todo a través de avisos de lenguaje natural, lo que reduce el tiempo medio de resolución, la exposición al riesgo y el tiempo de permanencia. |
| Creación de herramientas mcp personalizadas | Los equipos de seguridad pueden guardar sus propias consultas de KQL de la búsqueda avanzada como herramientas de MCP personalizadas, lo que permite flujos de trabajo de agente deterministas con control pormenorizado sobre los datos accesibles para los agentes de inteligencia artificial. Esta extensibilidad permite a las organizaciones adaptar el servidor a sus procesos de seguridad únicos. |
| Integración de datos rentable y rica en contexto | Microsoft Sentinel servidor MCP se integra de forma nativa con el lago de datos Microsoft Sentinel, lo que proporciona una retención rentable a largo plazo de los datos de seguridad durante un máximo de 12 años. Esta característica permite a los equipos de seguridad crear un contexto de seguridad completo sin necesidad de elegir entre la cobertura de datos y el costo. |
| Compatibilidad con multiplataforma | Microsoft Sentinel servidor MCP funciona con varios clientes con tecnología de inteligencia artificial y plataformas de automatización, incluidos Visual Studio Code, Microsoft Security Copilot, Microsoft Copilot Studio, Microsoft Foundry, ChatGPT (por OpenAI), Claude (por Anthropic) y Azure Logic Apps. |
Usos previstos
Microsoft Sentinel servidor MCP se puede usar en varios escenarios en diversos sectores. Algunos ejemplos de casos de uso incluyen:
Exploración interactiva de datos de seguridad a largo plazo: Los analistas de seguridad y los cazadores de amenazas pueden usar mensajes de lenguaje natural para buscar y recuperar datos pertinentes de tablas del lago de datos de Microsoft Sentinel sin necesidad de memorizar nombres de tabla, comprender esquemas o escribir consultas KQL. Por ejemplo, un analista que investiga ataques basados en identidades puede correlacionar la actividad de archivos con etiquetas de confidencialidad para descubrir signos de filtración de datos, infracciones de directivas o comportamientos sospechosos de los usuarios que podrían haber pasado desapercibidos durante una ventana de retención original. Este enfoque interactivo acelera la detección e investigación de amenazas, a la vez que reduce la dependencia de la formulación manual de consultas.
Análisis automatizado de entidades durante las investigaciones: Los ingenieros y analistas de SOC pueden usar herramientas de analizador de entidades para analizar y evaluar entidades como direcciones URL, usuarios y dominios en todos los datos de seguridad de una organización. Las herramientas recuperan, razonan y presentan claramente veredictos y análisis completos, lo que facilita la automatización de lo que tradicionalmente es un esfuerzo manual de recopilación de contexto. Esto reduce los tiempos de respuesta y se puede integrar en Azure cuadernos de estrategias de Logic Apps para el enriquecimiento automatizado de incidentes.
Creación de agentes Security Copilot a través del lenguaje natural: los ingenieros de SOC pueden describir su intención de automatización en lenguaje natural para crear rápidamente agentes de Security Copilot con las instrucciones y herramientas adecuadas del modelo de inteligencia artificial que razonan sobre los datos de seguridad. Por ejemplo, un ingeniero puede crear un agente que genere un completo informe posterior al incidente a partir de Microsoft Defender, Microsoft Purview y Microsoft Sentinel incidentes, agregando resúmenes, conclusiones, entidades y alertas con pasos de corrección accionables.
Clasificación rápida de incidentes y búsqueda de amenazas: Los equipos de seguridad deben priorizar los incidentes y buscar datos de la organización sin preocuparse por la interoperabilidad entre plataformas y herramientas. La colección de evaluación de prioridades integra modelos de inteligencia artificial con API para capturar incidentes, alertas, evidencias y entidades, y para ejecutar consultas de búsqueda avanzadas. Esto reduce el tiempo medio de resolución, la exposición al riesgo y el tiempo de permanencia, y permite a los equipos usar la inteligencia artificial para una toma de decisiones más rápida.
Flujos de trabajo deterministas personalizados para la automatización de la seguridad: Los equipos de seguridad pueden crear herramientas de MCP personalizadas a partir de consultas KQL guardadas en búsquedas avanzadas, lo que permite a los agentes recuperar y razonar datos específicos relevantes para los procesos de su organización. Esto proporciona a los equipos un control pormenorizado sobre los datos accesibles para los agentes de inteligencia artificial y crea flujos de trabajo de agente predecibles y repetibles.
Modelos y datos de entrenamiento
Microsoft Sentinel servidor MCP aprovecha una variedad de modelos de inteligencia artificial para potenciar la experiencia que ven los usuarios. El propio servidor es independiente del modelo: proporciona herramientas y acceso a datos estructurados que los modelos de inteligencia artificial consumen a través del protocolo MCP. El modelo de inteligencia artificial usado depende de la aplicación cliente que se conecte al servidor. Algunos ejemplos incluyen GPT-4o y otros modelos Azure del servicio OpenAI, Claude Sonnet (cuando se usa a través de Visual Studio Code con GitHub Copilot o el cliente de Claude) y modelos disponibles a través de Microsoft Security Copilot. Para obtener más información sobre los datos usados para entrenar los modelos básicos detrás de Microsoft Sentinel servidor MCP, consulte las tarjetas de modelo vinculadas para encontrar las tarjetas de datos pertinentes.
Rendimiento
Microsoft Sentinel servidor MCP está diseñado para realizarse de forma confiable cuando se usa para flujos de trabajo centrados en la seguridad que requieren acceso a datos tabulares estructurados en el lago de datos Microsoft Sentinel y Microsoft Defender. El servidor funciona dentro de una arquitectura cliente-servidor donde el modelo de inteligencia artificial (que se ejecuta en el cliente conectado) envía mensajes de lenguaje natural y las herramientas de MCP recuperan, procesan y devuelven datos de seguridad estructurados. Las entradas previstas son mensajes de texto de lenguaje natural que describen solicitudes de investigación de seguridad, búsquedas de tablas, tareas de análisis de entidades o instrucciones de creación de agentes. Las salidas esperadas son resultados de datos estructurados, incluidos esquemas de tabla, resultados de consultas KQL, veredictos y análisis de entidades, detalles de incidentes y alertas y YAML de configuración del agente.
El rendimiento del servidor depende de la configuración correcta del cliente conectado, de la incorporación adecuada al lago de datos de Microsoft Sentinel y de los productos de Microsoft Defender pertinentes, así como de la disponibilidad y actualización de los datos de seguridad subyacentes. Cada colección de herramientas tiene requisitos previos de producto específicos: por ejemplo, la colección de evaluación de prioridades requiere Microsoft Defender XDR, Microsoft Defender para punto de conexión o Microsoft Sentinel incorporados al portal de Defender, mientras que la colección de creación del agente requiere Microsoft Security Copilot. Las herramientas del analizador de entidades pueden requerir varios minutos para generar resultados y admitir una ventana de análisis máxima de siete días para que las entidades de usuario garanticen la precisión.
Microsoft Sentinel servidor MCP solo admite solicitudes de idioma inglés. Para un rendimiento óptimo, los clientes ubicados en los siguientes países y regiones pueden usar las herramientas: Australia, Canadá, Europa, India, Japón, Noruega, Sudeste Asiático, Suiza, Reino Unido y Estados Unidos. Se aplican cuotas y límites específicos a cada colección de herramientas, incluidos un límite de streaming mcp de 120 segundos, una ventana de consulta de 800 caracteres para las herramientas de Data Lake y límites de rendimiento para el analizador de entidades (200 ejecuciones por hora y 500 ejecuciones al día por inquilino). La limitación de API normal y las cuotas de búsqueda avanzada se aplican a la colección de herramientas de evaluación de prioridades.
Limitaciones
Comprender Microsoft Sentinel las limitaciones del servidor MCP es fundamental para determinar si se usa dentro de límites seguros y eficaces. Aunque animamos a los clientes a usar Microsoft Sentinel servidor MCP en sus soluciones o aplicaciones innovadoras, es importante tener en cuenta que Microsoft Sentinel servidor MCP no se diseñó para todos los escenarios posibles. Recomendamos a los usuarios que hagan referencia al Código de conducta de microsoft Enterprise AI Services (para organizaciones) o a la sección Código de conducta del Contrato de servicios de Microsoft (para individuos) y las siguientes consideraciones al elegir un caso de uso:
Ámbito específico del dominio: Microsoft Sentinel servidor MCP solo admite consultas y operaciones relacionadas con datos de seguridad en Microsoft Sentinel lago de datos y Microsoft Defender. Consultas fuera de este dominio, como preguntas de uso general, análisis de datos no relacionados con la seguridad o tareas no relacionadas con la búsqueda de amenazas y la respuesta a incidentes, puede dar lugar a respuestas vacías, irrelevantes o inexactas. Los usuarios no deben confiar en él como una asistente de inteligencia artificial de uso general.
Compatibilidad con idiomas solo en inglés: Microsoft Sentinel servidor MCP se desarrolló y evaluó solo para solicitudes de idioma inglés. El uso de mensajes en otros lenguajes puede provocar un rendimiento degradado, una selección de herramientas inexacta o resultados incompletos. Los usuarios deben tener cuidado al trabajar fuera del ámbito de lenguaje previsto.
Dependencia de actualización de datos: Los resultados de las herramientas de MCP dependen del estado actual de los datos del lago de datos de Microsoft Sentinel. Si los datos están obsoletos, incompletos o aún no ingeridos, las respuestas podrían ser limitadas o inexactas. Los usuarios deben asegurarse de que sus conectores de datos están configurados correctamente y de que la ingesta de datos es actual antes de basarse en los resultados para tomar decisiones de seguridad críticas.
Dependencia de configuración de cliente y complemento: Las herramientas que usan el servidor MCP deben estar configuradas correctamente para acceder a los complementos, orígenes de datos y áreas de trabajo correctos. La configuración incorrecta, como el uso de un identificador de área de trabajo no válido, la conexión con una versión de cliente incompatible o la falta del rol de lector de seguridad necesario, puede dar lugar a invocaciones de herramientas con errores o a falta de resultados. Los usuarios deben seguir las instrucciones de configuración y solución de problemas documentadas.
Restricciones del analizador de entidades: El analizador de entidades de usuario (
analyze_user_entity) solo admite usuarios con un factor de forma de identificador de objeto Microsoft Entra. No se admiten usuarios solo de Active Directory locales. Además, el analizador de usuarios requiere que tablas específicas (AlertEvidence,SigninLogs,CloudAppEvents,IdentityInfo) estén presentes en el lago de datos. Las tablas que faltan reducen la precisión del análisis o generan errores. El analizador de entidades también tiene límites de simultaneidad y expiración de resultados (una hora), lo que requiere consultas nuevas después de la expiración.Disponibilidad regional: Microsoft Sentinel servidor MCP está optimizado para clientes de regiones específicas (Australia, Canadá, Europa, India, Japón, Noruega, Sudeste Asiático, Suiza, Reino Unido y Estados Unidos). Es posible que el rendimiento fuera de estas regiones no cumpla las expectativas.
Calidad de salida dependiente del modelo: Dado que Microsoft Sentinel servidor MCP es independiente del modelo, la calidad y precisión de la salida final depende del modelo de IA usado en el cliente conectado. Es posible que algunos modelos no razonen de forma eficaz sobre una gran combinación de herramientas o que generen consultas KQL menos precisas. Los usuarios deben seleccionar modelos de razonamiento más recientes para obtener el mejor rendimiento.
Estado de versión preliminar de ciertas características: Algunas colecciones de herramientas (como la evaluación de prioridades y las herramientas personalizadas) están en versión preliminar. Estas características pueden modificarse sustancialmente antes de la disponibilidad general. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información preliminar.
Evaluaciones
Microsoft Sentinel MCP se evalúa mediante comprobaciones automatizadas integradas en el proceso de implementación de Seguridad de Microsoft Graph. Estas evaluaciones se ejecutan como parte de cada implementación para evaluar la confiabilidad, la corrección y la seguridad del servicio antes del lanzamiento.
Como parte de este proceso, Microsoft Sentinel MCP se somete a evaluaciones estáticas automatizadas que actúan como puertas de implementación. Estas evaluaciones validan el funcionamiento correcto de las herramientas mcp y la lógica de orquestación, incluida la invocación de herramientas y las salidas ejecutables, para detectar regresiones que podrían afectar a los flujos de trabajo de investigación de seguridad admitidos.
Microsoft Sentinel MCP también se valida en escenarios representativos de investigación de seguridad para garantizar un comportamiento correcto de un extremo a otro en flujos de trabajo comunes controlados por herramientas, como la detección semántica de tablas, la ejecución de consultas y la orquestación de herramientas de varios pasos.
Las evaluaciones se aplican de forma totalmente automatizada y coherente en todas las implementaciones. Microsoft Sentinel MCP no se basa en procesos de evaluación manual o ad hoc independientes. La seguridad y la calidad se aplican principalmente a través de evaluaciones automatizadas, puesta a tierra de herramientas, control de acceso basado en roles y prácticas de implementación supervisadas.
Componentes de seguridad y mitigaciones
Microsoft Entra autenticación y control de acceso basado en rol: Microsoft Sentinel servidor MCP requiere autenticación a través de Microsoft Entra, lo que garantiza que solo los usuarios autorizados puedan acceder a las herramientas y los datos. Los usuarios deben tener al menos un rol lector de seguridad para enumerar e invocar herramientas. La colección de evaluación de prioridades aplica los permisos existentes, lo que significa que los usuarios solo pueden acceder a los datos que su rol les concede. Esto evita el acceso a datos no autorizados y aplica el principio de privilegios mínimos.
Diseño de herramientas con ámbito de dominio: Las herramientas de MCP están diseñadas específicamente para las operaciones de seguridad y están destinadas exclusivamente a Microsoft Sentinel data lake y Microsoft Defender datos. Este diseño limita la superficie expuesta a ataques evitando que las herramientas se usen para el acceso a datos de uso general o operaciones fuera del dominio de seguridad. Las descripciones de herramientas están optimizadas para la seguridad para guiar los modelos de inteligencia artificial hacia la selección de herramientas adecuada.
Colecciones de herramientas estructuradas y centradas en escenarios: Las herramientas se organizan en colecciones lógicas centradas en escenarios (exploración de datos, creación de agentes, evaluación de prioridades) con descripciones optimizadas para la seguridad. Esto ayuda a los modelos de inteligencia artificial a identificar y seleccionar correctamente las herramientas adecuadas para tareas específicas, lo que reduce el riesgo de invocaciones de herramientas incorrectas o no intencionadas.
Anotación y supervisión de contenido dañinos: Microsoft Sentinel servidor MCP incorpora anotaciones de contenido dañinas y supervisión operativa como parte de su sistema de seguridad. Estos componentes están diseñados para detectar y mitigar instancias en las que la aplicación podría producir contenido inadecuado, dañino o fuera de tema.
Acceso anticipado de solo invitación y mejora iterativa: En el caso de las características de la versión preliminar, Microsoft usa un modelo de acceso anticipado de solo invitación para recopilar comentarios de los usuarios antes de una disponibilidad amplia. Este enfoque permite al equipo identificar y abordar problemas de seguridad y rendimiento en entornos controlados antes de la versión general.
Limitación de consultas y tasas: El servidor aplica cuotas y límites de velocidad específicos (como límites de streaming de 120 segundos, ventanas de consulta de 800 caracteres y límites de ejecución del analizador de entidades) para evitar el abuso, el consumo excesivo de recursos y los escenarios de denegación de servicio. Estos límites garantizan que el servicio permanece estable y disponible para todos los usuarios.
Aislamiento de inquilinos y controles multiinquilino: El acceso a los datos se limita al inquilino y al área de trabajo de cada cliente. El servidor admite la configuración multiinquilino a través de encabezados específicos del inquilino, lo que garantiza que los datos de una organización no sean accesibles para otra.
Diseño humano en bucle: Microsoft Sentinel servidor MCP está diseñado para mantener a los seres humanos en el centro de la toma de decisiones de seguridad. Las herramientas proporcionan conclusiones, recomendaciones y veredictos generados por IA, pero se espera que los analistas de seguridad revisen y validen todas las salidas antes de actuar sobre ellas. Este diseño fomenta el uso responsable y reduce el riesgo de errores automatizados que conducen a resultados de seguridad adversos.
Procedimientos recomendados para implementar y adoptar Microsoft Sentinel servidor MCP
La inteligencia artificial responsable es un compromiso compartido entre Microsoft y sus clientes. Aunque Microsoft crea aplicaciones de inteligencia artificial con seguridad, equidad y transparencia en el núcleo, los clientes desempeñan un papel fundamental en la implementación y el uso de estas tecnologías de forma responsable dentro de sus propios contextos. Para admitir esta asociación, ofrecemos los siguientes procedimientos recomendados para los implementadores y los usuarios finales con el fin de ayudar a los clientes a implementar la inteligencia artificial responsable de forma eficaz.
Los implementadores y los usuarios finales deben:
Tenga cuidado y evalúe los resultados al usar Microsoft Sentinel servidor MCP para decisiones consecuentes o en dominios confidenciales: las decisiones consecuentes son aquellas que podrían tener un impacto legal o significativo en el acceso de una persona a la educación, el empleo, las plataformas financieras, los beneficios gubernamentales, la atención sanitaria, la vivienda, los seguros, las plataformas legales, o que podrían dar lugar a daños físicos, psicológicos o financieros. Los dominios confidenciales, como las plataformas financieras, la atención sanitaria y la vivienda, requieren atención especial debido a la posibilidad de un impacto desproporcionado en diferentes grupos de personas. Al usar la inteligencia artificial para tomar decisiones en estas áreas, asegúrese de que las partes interesadas afectadas puedan comprender cómo se toman las decisiones, apelar decisiones y actualizar los datos de entrada pertinentes.
Evaluar consideraciones legales y reglamentarias: Los clientes deben evaluar posibles obligaciones legales y normativas específicas al usar cualquier plataforma y solución de inteligencia artificial, lo que podría no ser adecuado para su uso en todos los sectores o escenarios. Además, las plataformas o soluciones de inteligencia artificial no están diseñadas para y podrían no usarse de maneras prohibidas en términos de servicio aplicables y códigos de conducta pertinentes.
Los usuarios finales deben:
Ejercita la supervisión humana cuando corresponda: La supervisión humana es una medida de seguridad importante al interactuar con aplicaciones de inteligencia artificial. Aunque mejoramos continuamente nuestras aplicaciones de inteligencia artificial, es posible que la inteligencia artificial siga cometiendo errores. Los resultados generados pueden ser inexactos, incompletos, sesgados, desalineados o irrelevantes para los objetivos previstos. Esto podría ocurrir debido a varias razones, como la ambigüedad en las entradas o limitaciones de los modelos subyacentes. Por lo tanto, los usuarios deben revisar las respuestas generadas por Microsoft Sentinel servidor MCP y comprobar que coinciden con sus expectativas y requisitos.
Tenga en cuenta el riesgo de exceso de dependencia: La dependencia excesiva de la inteligencia artificial se produce cuando los usuarios aceptan salidas de IA incorrectas o incompletas, principalmente porque los errores en las salidas de IA pueden ser difíciles de detectar. Para el usuario final, el exceso de dependencia podría dar lugar a una disminución de la productividad, pérdida de confianza, abandono de aplicaciones, pérdida financiera, daño psicológico, daño físico, entre otros. En el contexto de Microsoft Sentinel servidor MCP, la dependencia excesiva podría llevar a los analistas a actuar sobre evaluaciones de amenazas incorrectas, entidades mal clasificadas o resultados de consultas fabricados sin una comprobación adecuada, lo que podría dar lugar a amenazas perdidas o esfuerzos de respuesta a incidentes mal dirigidos.
Tenga cuidado al diseñar la inteligencia artificial agentic en dominios confidenciales: Los usuarios deben tener cuidado al diseñar o implementar aplicaciones de inteligencia artificial de agente en dominios confidenciales donde las acciones del agente son irreversibles o altamente consecuentes. Tome precauciones adicionales al crear una inteligencia artificial agente autónoma, tal y como se describe más adelante en el Código de conducta de Microsoft Enterprise AI Services (para organizaciones) o en la sección Código de conducta del Contrato de servicios de Microsoft (para individuos).
Escriba mensajes específicos y detallados: Las buenas indicaciones ofrecen buenos resultados. Si los mensajes generan respuestas lentas o salidas que carecen de verdad, intente escribir mensajes más específicos. Por ejemplo, un mensaje que indica "Para el UPN> del usuario<, establecer una línea base de sus eventos de red, archivo, inicio de sesión y dispositivo durante 90 días y comparar con +/- 10 minutos para buscar anomalías o actividades sospechosas que me ayuden a evaluar la gravedad y la prioridad de esta alerta" es mucho más eficaz que "¿Qué es arriesgado sobre <UPN>?".
Especifique áreas de trabajo al trabajar con varios entornos: Si trabaja con varias áreas de trabajo de data lake Microsoft Sentinel, sea específico sobre el identificador de área de trabajo con la que desea que funcionen las herramientas. Use la
list_sentinel_workspacesherramienta para identificar las áreas de trabajo disponibles e incluir el identificador del área de trabajo en las solicitudes para garantizar resultados coherentes.Proporcione comentarios para ayudar a mejorar la aplicación: Microsoft da la bienvenida a los comentarios de los usuarios sobre Microsoft Sentinel servidor MCP para ayudar a identificar y solucionar problemas. Los usuarios pueden enviar comentarios a través de su representante de cuenta de Microsoft o a través de los canales de soporte técnico estándar de Microsoft.
Los implementadores deben:
Garantizar la incorporación y los requisitos previos adecuados: Antes de implementar Microsoft Sentinel servidor MCP, compruebe que su organización está incorporada al lago de datos de Microsoft Sentinel, los productos de Microsoft Defender necesarios y, cuando corresponda, Microsoft Security Copilot. Asegúrese de que los usuarios tienen los roles adecuados (lector de seguridad como mínimo) y que los conectores de datos están configurados correctamente para proporcionar datos actualizados y completos para que las herramientas se razonen.
Mantenga los clientes MCP compatibles y actualizados: Microsoft Sentinel servidor MCP implementa las especificaciones de autorización más recientes de MCP. Asegúrese de que los clientes conectados (Visual Studio Code, Security Copilot, Copilot Studio, Foundry, ChatGPT o Claude) se actualicen a las versiones más recientes para evitar problemas de conectividad y autenticación.
Configure colecciones de herramientas para sus necesidades de seguridad: Implemente solo las colecciones de herramientas pertinentes para los flujos de trabajo de la organización. Use herramientas de MCP personalizadas para prescribir exactamente a qué agentes de datos pueden acceder, lo que aplica flujos de trabajo deterministas con control de datos pormenorizado. Esto ayuda a mantener un entorno de automatización de seguridad predecible y auditable.
Supervisar y auditar el uso: Use Microsoft Sentinel capacidades de auditoría de Data Lake para realizar un seguimiento del uso de herramientas, el acceso a datos y los eventos de consulta. Revise periódicamente los registros de auditoría para detectar patrones de uso anómalos o intentos de acceso no autorizados. Familiarícese con su equipo con la guía de solución de problemas para resolver problemas predecibles rápidamente.
Pruebe en entornos controlados antes de una implementación amplia: Use primero las características de acceso anticipado y vista previa de solo invitación en entornos controlados, probando con mensajes y datos representativos. Valide que los resultados de la herramienta cumplan los estándares de precisión y rendimiento de su organización antes de habilitar un acceso amplio.
Configure los límites de velocidad y la simultaneidad de forma adecuada: Al usar herramientas del analizador de entidades, especialmente en Azure logic apps con bucles For Each, habilite el control de simultaneidad y comience con un bajo grado de paralelismo (por ejemplo, 5) para evitar tiempos de espera y evitar superar los límites de rendimiento del analizador de entidades. Ajuste según sea necesario en función de los patrones de uso de la organización.
Planear la disponibilidad regional: Implemente Microsoft Sentinel servidor MCP para equipos ubicados en regiones admitidas (Australia, Canadá, Europa, India, Japón, Noruega, Sudeste Asiático, Suiza, Reino Unido y Estados Unidos) para obtener un rendimiento óptimo. Alerte a los usuarios de otras regiones sobre posibles limitaciones de rendimiento.
Más información sobre Microsoft Sentinel servidor MCP
Para obtener más instrucciones o para obtener más información sobre el uso responsable de Microsoft Sentinel servidor MCP, se recomienda revisar la siguiente documentación:
- ¿Cuál es el soporte técnico de Microsoft Sentinel para MCP?
- Introducción a Microsoft Sentinel servidor MCP
- Colección de herramientas en Microsoft Sentinel servidor MCP
- Microsoft Sentinel precios, límites y disponibilidad del servidor MCP
- Microsoft Sentinel procedimientos recomendados de recopilación de herramientas mcp y solución de problemas
- ¿Qué es Microsoft Sentinel?