Exploración de Microsoft Sentinel lago de datos con la recopilación de exploración de datos

Importante

Cierta información se relaciona con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

La colección de herramientas de exploración de datos del servidor de protocolo de contexto de modelo (MCP) de Microsoft Sentinel permite buscar tablas pertinentes y recuperar datos del lago de datos de Microsoft Sentinel mediante el lenguaje natural.

Requisitos previos

Para acceder a la colección de herramientas de exploración de datos, necesita los siguientes requisitos previos:

Importante

El acceso a Sentinel herramientas de MCP es compatible con usuarios, identidades administradas o entidades de servicio que se asignan con al menos cualquiera de los roles siguientes:

  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad

Adición de la colección de exploración de datos

Para agregar la recopilación de exploración de datos, configure primero la interfaz de servidor MCP unificada de Microsoft Sentinel. Siga las instrucciones paso a paso para editores de código compatibles con inteligencia artificial y plataformas de creación de agentes.

La colección de exploración de datos se hospeda en la siguiente dirección URL:

https://sentinel.microsoft.com/mcp/data-exploration

Herramientas de la colección de exploración de datos

Búsqueda semántica en el catálogo de tablas (search_tables)

Esta herramienta detecta tablas de data lake relevantes para una entrada de lenguaje natural determinada y devuelve definiciones de esquema para admitir la creación de consultas. Use esta herramienta para detectar tablas, comprender un esquema o crear consultas de Lenguaje de consulta Kusto (KQL) válidas para un área de trabajo de Microsoft Sentinel. También puede usarlo para explorar orígenes de datos desconocidos o identificar tablas pertinentes para una tarea de investigación o analítica específica.

Parameters ¿Necesario? Descripción
query Este parámetro toma palabras clave para buscar tablas pertinentes en las áreas de trabajo conectadas.
workspaceId No Este parámetro toma un identificador de área de trabajo para limitar la búsqueda a un único área de trabajo de data lake conectada Microsoft Sentinel.

Tablas admitidas

Esta herramienta admite Azure Monitor Log Analytics. Para obtener una lista completa de las tablas, consulte Azure Supervisión de tablas de registro de Log Analytics organizadas por categoría.

También admite la mayoría de las tablas de Microsoft Sentinel enumeradas en tablas Microsoft Sentinel y conectores asociados. No se admiten las tablas siguientes:

Tablas de Microsoft Sentinel no admitidas
  • AliCloudActionTrailLogs_CL
  • argsentdc_CL
  • Audit_CL
  • Auth0Logs_CL
  • Awareness_Performance_Details_CL
  • Awareness_SafeScore_Details_CL
  • Awareness_User_Data_CL
  • Awareness_Watchlist_Details_CL
  • CarbonBlack_Alerts_CL
  • Cisco_Umbrella_proxy_CL
  • Cloud_Integrated_CL
  • CloudGuard_SecurityEvents_CL
  • ConfluenceAuditLogs_CL
  • CortexXpanseAlerts_CL
  • CyberSixgill_Alerts_CL
  • DruvaSecurityEvents_CL
  • DynatraceAttacks_CL
  • DynatraceAuditLogs_CL
  • DynatraceProblems_CL
  • DynatraceSecurityProblems_CL
  • ErmesBrowserSecurityEvents_CL
  • FireworkV2_CL
  • Garrison_ULTRARemoteLogs_CL
  • GCPLoadBalancerLogs_CL
  • GitHubAuditLogsV2_CL
  • Health_Data_CL
  • Illumio_Flow_Events_CL
  • IllumioInsightsSummary_CL
  • iocsent_CL
  • Island_Admin_CL
  • Island_User_CL
  • JBossEvent_CL
  • LookoutMtdV2_CL
  • ObsidianActivity_CL
  • ObsidianThreat_CL
  • Onapsis_Defend_CL
  • OneTrustMetadataV3_CL
  • OracleWebLogicServer_CL
  • PaloAltoCortexXDR_Alerts_CL
  • PaloAltoCortexXDR_Audit_Agent_CL
  • PaloAltoCortexXDR_Audit_Management_CL
  • PaloAltoCortexXDR_Endpoints_CL
  • Phosphorus_CL
  • PingOne_AuditActivitiesV2_CL
  • PrismaCloudCompute_CL
  • ProofpointPODMailLog_CL
  • ProofpointPODMessage_CL
  • ProofPointTAPClicksBlockedV2_CL
  • ProofPointTAPMessagesBlockedV2_CL
  • RSAIDPlus_AdminLogs_CL
  • SAPLogServ_CL
  • Seg_Cg_CL
  • Seg_Dlp_CL
  • SeraphicWebSecurity_CL
  • SlackAuditV2_CL
  • Tenable_WAS_Asset_CL
  • TransmitSecurityActivity_CL
  • Ttp_Attachment_CL
  • Ttp_Impersonation_CL
  • Ttp_Url_CL
  • Ubiquiti_CL
  • ValenceAlert_CL
  • vcenter_CL
  • ZimperiumThreatLog_CL
  • ZNSegmentAuditNativePoller_CL

Ejecución de una consulta KQL (Lenguaje de consulta Kusto) en Microsoft Sentinel lago de datos (query_lake)

Esta herramienta ejecuta una única consulta KQL en una Microsoft Sentinel área de trabajo de Data Lake especificada y devuelve el conjunto de resultados sin procesar. Está diseñado para la recuperación analítica o de investigación centrada y no para la exportación masiva. Use esta herramienta para avanzar en una investigación o un flujo de trabajo analítico y recuperar un evento de seguridad, una alerta, un recurso, una identidad, un dispositivo o datos de enriquecimiento. También puede usarlo junto con la search_tables herramienta para identificar los esquemas de tabla pertinentes y crear consultas KQL válidas.

Parameters ¿Necesario? Descripción
query Este parámetro toma una consulta KQL bien formada para recuperar datos de un área de trabajo de data lake Microsoft Sentinel.
workspaceId No Este parámetro toma un identificador de área de trabajo para limitar la búsqueda a un único área de trabajo de data lake conectada Microsoft Sentinel.

Enumerar áreas de trabajo (list_sentinel_workspaces)

Esta herramienta enumera todos los pares de identificadores y nombre del área de trabajo de Data Lake Microsoft Sentinel disponibles. Incluir el nombre del área de trabajo proporciona un contexto útil para comprender qué área de trabajo se usa. Ejecute esta herramienta antes de usar cualquier otra herramienta de Microsoft Sentinel porque esas herramientas necesitan un argumento de identificador de área de trabajo para funcionar correctamente.

Analizador de entidades

Estas herramientas usan la inteligencia artificial para analizar los datos de la organización en el lago de datos Microsoft Sentinel. Proporcionan un veredicto e información detallada sobre direcciones URL, dominios y entidades de usuario. Ayudan a eliminar la necesidad de recopilación manual de datos e integraciones complejas que normalmente se requieren para enriquecer e investigar entidades.

Por ejemplo, analyze_user_entity razones sobre los patrones de autenticación del usuario, las anomalías de comportamiento, la actividad dentro de su organización y mucho más para proporcionar un veredicto y un análisis. Mientras tanto, analyze_url_entity las razones sobre la inteligencia sobre amenazas de Microsoft, su inteligencia de amenazas personalizada en Microsoft Sentinel plataforma de inteligencia sobre amenazas (TIP), hacer clic, correo electrónico o actividad de conexión en la dirección URL dentro de su organización y la presencia en Microsoft Sentinel listas de seguimiento, entre otras, para proporcionar un veredicto y un análisis de forma similar.

Las herramientas de análisis de entidades pueden requerir unos minutos para generar resultados, por lo que hay herramientas para iniciar el análisis de cada entidad y otra que sondea los resultados del análisis.

Importante

Para usar la herramienta entity analyzer, también necesita los siguientes roles:

  • colaborador de Security Copilot: este rol es necesario para usar la herramienta, que consume unidades de proceso de seguridad (SCU) para ofrecer análisis de riesgo de entidades razonadas.
  • Security Copilot propietario (opcional): este rol solo es necesario para ver y supervisar el uso de SCU.

Para obtener más información, consulte Descripción de la autenticación en Microsoft Security Copilot.

Iniciar análisis (analyze_user_entity y analyze_url_entity)

Parameters ¿Necesario? Description
Microsoft Entra id. de objeto, nombre principal de usuario (UPN) o dirección URL Este parámetro toma el usuario o la dirección URL que desea analizar.
startTime Este parámetro toma la hora de inicio de la ventana de análisis.
endTime Este parámetro toma la hora de finalización de la ventana de análisis.
workspaceId No Este parámetro toma un identificador de área de trabajo para limitar la búsqueda a un único área de trabajo de data lake conectada Microsoft Sentinel.

Estas herramientas devuelven un valor de identificador que puede proporcionar a la herramienta de recuperación de análisis como entrada.

Recuperar análisis (get_entity_analysis)

Parameters ¿Necesario? Descripción
analysisId Este parámetro toma el identificador de trabajo recibido de las herramientas de análisis de inicio.

Aunque esta herramienta sondea automáticamente durante unos minutos hasta que los resultados estén listos, es posible que su tiempo de espera interno no sea suficiente para las operaciones de análisis largas. Es posible que tenga que ejecutarlo varias veces para obtener resultados.

Nota:

Puede ser beneficioso incluir un mensaje como render the results as returned exactly from the tool, que ayuda a garantizar que la respuesta del analizador se proporciona sin procesamiento adicional por parte del cliente MCP.

Información adicional

  • analyze_user_entity admite un período de tiempo máximo de siete días para maximizar la precisión de los resultados.

  • analyze_user_entitysolo funciona para usuarios con un identificador de objeto de Microsoft Entra (usuarios). Los usuarios solo de Active Directory locales no se admiten para el análisis de usuarios.

  • analyze_user_entity requiere que las tablas siguientes estén presentes en el lago de datos para garantizar la precisión del análisis:

    Si no tiene ninguna de estas tablas necesarias, analyze_user_entity genera un mensaje de error que muestra las tablas que no ha incorporado, junto con vínculos a su documentación de incorporación correspondiente.

  • analyze_user_entity funciona mejor cuando las tablas siguientes también están presentes en el lago de datos, pero sigue funcionando y evaluando el riesgo, incluso si dichas tablas no están disponibles:

  • analyze_url_entity funciona mejor cuando las tablas siguientes están presentes en el lago de datos, pero sigue funcionando y evaluando el riesgo, incluso si dichas tablas no están disponibles:

    Si no tiene ninguna de estas tablas, analyze_url_entity genera una respuesta con una declinación de responsabilidades que enumera las tablas que no ha incorporado, junto con vínculos a su documentación de incorporación correspondiente.

  • La ejecución de varias instancias del analizador de entidades al mismo tiempo puede aumentar la latencia de cada ejecución. Para evitar tiempos de espera y evitar alcanzar los umbrales de vista previa del analizador de entidades, empiece ejecutando un máximo de cinco análisis a la vez y, a continuación, ajústelo según sea necesario en función de la frecuencia con la que se desencadena la aplicación lógica en su organización.

Solicitudes de ejemplo

En las siguientes solicitudes de ejemplo se muestra lo que puede hacer con la colección de exploración de datos:

  • Busque los tres usuarios principales que están en riesgo y explique por qué están en riesgo.
  • Busque errores de inicio de sesión en las últimas 24 horas y proporcione un breve resumen de los resultados clave.
  • Identifique los dispositivos que mostraron un número excepcional de conexiones de red salientes.
  • Ayúdeme a comprender si el identificador> de objeto de usuario <está en peligro.
  • Investigue a los usuarios con una alerta de difusión de contraseña en los últimos siete días y dígame si alguno de ellos está en peligro.
  • Busque todos los IOC de dirección URL del informe> de análisis de <amenazas y anótelos para decirme todo lo que Microsoft sabe sobre ellos.

Cómo funcionan las herramientas Microsoft Sentinel MCP junto con el agente

Echemos un vistazo más profundo a cómo un agente responde a un aviso mediante la orquestación dinámica sobre las herramientas.

Símbolo del sistema de ejemplo:Find the top three users that are at risk and explain why they're at risk.

Respuesta típica (GitHub Copilot mediante Claude Sonnet 4):

Captura de pantalla de una respuesta GitHub Copilot.

Explicación:

  • Cuando el agente recibe el aviso, busca tablas pertinentes que contienen información de seguridad y riesgo del usuario. Comienza desconstruyendo el símbolo del sistema en palabras clave de búsqueda para buscar las tablas.

    Desde el símbolo del sistema de ejemplo, su búsqueda identifica cuatro tablas pertinentes del ámbito de las tablas a las que el usuario tiene acceso:

    • AADNonInteractiveUserSignInLogs- Eventos de inicio de sesión Microsoft Entra ID no interactivos
    • BehaviorAnalytics - Datos de Análisis de comportamiento de usuario y entidad (UEBA)
    • SigninLogs- Eventos de inicio de sesión Microsoft Entra ID interactivos
    • AADUserRiskEvents - Detecciones de riesgos de identity protection

    Captura de pantalla del agente que busca tablas pertinentes que contengan información de seguridad y riesgo del usuario.

  • El agente realiza otra búsqueda mediante la herramienta Búsqueda semántica en el catálogo de tablas (search_tables), esta vez con términos más amplios, para buscar otras tablas desde las que debe consultar datos para influir en su razonamiento.

    Captura de pantalla del agente que busca con términos más amplios.

  • El agente identifica las tablas pertinentes y, a continuación, usa la consulta Ejecutar KQL (Lenguaje de consulta Kusto) en Microsoft Sentinel herramienta data lake (query_lake) para consultar datos y buscar los tres principales usuarios en riesgo. Se produce un error en el primer intento porque la consulta KQL tiene un error semántico.

    Captura de pantalla del agente que intenta ejecutar una consulta KQL con un error semántico.

  • El agente corrige la consulta KQL por sí mismo y recupera correctamente los datos de Microsoft Sentinel lago de datos, buscando los usuarios de riesgo.

    Captura de pantalla del agente que intenta ejecutar una consulta KQL corregida.

  • El agente ejecuta una consulta más para obtener información detallada sobre los usuarios de riesgo para proporcionar un mejor contexto sobre por qué están en riesgo.

    Captura de pantalla del agente que ejecuta otra consulta para obtener información detallada del usuario.

  • El agente responde de nuevo al usuario con su análisis completo.

Contenido relacionado

  • Last updated on