Creación y uso de herramientas Microsoft Sentinel MCP personalizadas (versión preliminar)

Importante

Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Los agentes de seguridad creados con la colección de herramientas de Protocolo de contexto de modelo (MCP) de Microsoft Sentinel pueden razonar de forma eficaz sobre los datos de Microsoft Sentinel. Puede crear herramientas de MCP Sentinel personalizadas para tener un control pormenorizado sobre los datos accesibles para los agentes de seguridad y crear flujos de trabajo de agente deterministas.

En este artículo se muestra cómo puede permitir que los agentes recuperen y razonen el conocimiento de la biblioteca de consultas de Lenguaje de consulta Kusto guardadas (KQL) en búsqueda avanzada y Sentinel lago de datos mediante la creación de herramientas de MCP personalizadas.

Requisitos previos

Para crear herramientas Microsoft Sentinel MCP personalizadas, necesita los siguientes requisitos previos:

  • Microsoft Sentinel data lake y licencias de Microsoft Defender
  • Operador de seguridad, Administración de seguridad o rol de Administración global para crear, actualizar o eliminar herramientas personalizadas
  • Lector de seguridad o rol de lector global para enumerar e invocar herramientas personalizadas

Creación de herramientas personalizadas con consultas KQL

Use consultas de búsqueda avanzada en Microsoft Defender portal y consultas KQL en Microsoft Sentinel lago de datos para buscar y detectar datos de seguridad que puede usar en flujos de trabajo de agente. Este enfoque le permite controlar el tipo y la cantidad de información que los agentes pueden razonar. Cuando compruebe que una consulta recupera los datos con los que desea que el agente razone, guárdelo como una herramienta MCP personalizada.

Para guardar una consulta KQL como una herramienta MCP, siga estos pasos:

  1. En la página Búsqueda avanzada de Microsoft Defender, busque y detecte desde las consultas KQL creadas manualmente o desde la biblioteca de consultas guardadas los datos de seguridad que desea usar en los flujos de agente y ábralos en la ventana de consulta.

  2. Seleccione Guardar como herramienta en cualquiera de las siguientes experiencias del portal de Defender:

    • Menú contextual de una consulta

      Captura de pantalla de la opción Guardar como herramienta en el menú contextual de una consulta KQL.

    • Menú del cuadro de consulta KQL de una consulta

      Captura de pantalla de la opción Guardar como herramienta en un cuadro de consulta de KQL.

  3. En el panel flotante Guardar herramienta que aparece, escriba los detalles siguientes:

    • Nombre: Nombre reconocible de la herramienta que ayuda a los modelos de inteligencia artificial a identificar y seleccionar correctamente la herramienta para tareas específicas.

    • Descripción: Descripción de la herramienta. Para obtener más información, consulte Procedimientos recomendados para crear descripciones de herramientas.

    • Colección: Elija si desea agregar la herramienta a una colección de herramientas existente o crear una nueva seleccionando Crear nueva colección.

    • Área de trabajo predeterminada: Área de trabajo predeterminada que desea que el agente use como sugerencia cada vez que un símbolo del sistema no especifique ninguna área de trabajo.

    • Parámetros (opcional): Las entradas personalizables que admite la herramienta. Puede convertir algunos de los valores de la consulta KQL en parámetros que siguen el {ParamaterName} formato y, a continuación, agregar su nombre de parámetro y su descripción para que el agente comprenda bien cómo rellenarlos en función del contexto de conversación disponible.

    Captura de pantalla del panel flotante de herramientas personalizadas de MCP en la búsqueda avanzada.

    Captura de pantalla de una consulta KQL con determinados valores convertidos en parámetros.

  4. Haga clic en Guardar.

Visualización de herramientas de MCP personalizadas guardadas

Para ver las herramientas de MCP personalizadas que guardó de las consultas de búsqueda avanzadas, vaya a la pestaña Herramientas de la página Búsqueda avanzada .

Procedimientos recomendados para crear descripciones de herramientas

Al guardar la herramienta personalizada, su nombre y, lo que es más importante, su descripción son fundamentales para identificarla y seleccionarla para tareas específicas. Los siguientes procedimientos recomendados y consideraciones pueden ayudar al describir la herramienta:

  • Manténgalo corto y orientado a la acción. Use una o dos oraciones que comiencen con un verbo y un recurso claros (por ejemplo, "Recupera datos de registro de auditoría para un usuario específico"). Evite la jerga o expresiones demasiado técnicas.

  • Céntrese en el propósito, no en los parámetros. Describir lo que hace la herramienta y su caso de uso principal. Deje los detalles del parámetro en el esquema, no en la descripción.

  • Incluya sugerencias de flujo de trabajo solo si son críticas. Si una herramienta requiere un paso de requisitos previos (por ejemplo, "Llamar risky_users_tool primero"), menciónelo brevemente para evitar el uso indebido.

  • Optimice la detectabilidad y claridad. Use una nomenclatura coherente, evite términos ambiguos y asegúrese de que las descripciones ayudan a los modelos de inteligencia artificial y a los usuarios a seleccionar rápidamente la herramienta adecuada.

Uso de herramientas personalizadas en agentes personalizados y plataformas de codificación

Para obtener más información sobre cómo usar la colección de herramientas personalizada en los agentes de seguridad, consulte los artículos de los siguientes editores de código con tecnología de inteligencia artificial y plataformas de creación de agentes:

Contenido relacionado

  • Last updated on