Creare e usare strumenti MCP Microsoft Sentinel personalizzati (anteprima)

Importante

Queste informazioni si riferiscono a un prodotto preliminare che può essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Gli agenti di sicurezza compilati con la raccolta di strumenti MCP (Model Context Protocol) di Microsoft Sentinel possono ragionare efficacemente sui dati in Microsoft Sentinel. È possibile creare strumenti MCP Sentinel personalizzati per avere un controllo granulare sui dati accessibili agli agenti di sicurezza e creare flussi di lavoro agenti deterministici.

Questo articolo illustra come consentire agli agenti di recuperare e ragionare sulle conoscenze dalla libreria di query Linguaggio di query Kusto salvate (KQL) nella ricerca avanzata e Sentinel data lake creando strumenti MCP personalizzati.

Prerequisiti

Per creare strumenti MCP Microsoft Sentinel personalizzati, sono necessari i prerequisiti seguenti:

  • Microsoft Sentinel licenze data lake e Microsoft Defender
  • Operatore di sicurezza, Amministrazione di sicurezza o ruolo Amministrazione globale per creare, aggiornare o eliminare strumenti personalizzati
  • Lettore di sicurezza o ruolo lettore globale per elencare e richiamare strumenti personalizzati

Creare strumenti personalizzati con query KQL

Usare query di ricerca avanzate in Microsoft Defender portale e query KQL in Microsoft Sentinel data lake per trovare e individuare i dati di sicurezza che è possibile usare nei flussi di lavoro agentic. Questo approccio consente di controllare il tipo e la quantità di informazioni che gli agenti possono determinare. Quando si verifica che una query recuperi i dati con cui l'agente deve ragionare, salvarli come strumento MCP personalizzato.

Per salvare una query KQL come strumento MCP, seguire questa procedura:

  1. Nella pagina Ricerca avanzata in Microsoft Defender individuare le query KQL create manualmente o dalla libreria di query salvate i dati di sicurezza che si desidera usare nei flussi agenti, quindi aprirli nella finestra di query.

  2. Selezionare Salva come strumento da una delle esperienze del portale di Defender seguenti:

    • Menu di scelta rapida di una query

      Screenshot dell'opzione salva come strumento nel menu di scelta rapida di una query KQL.

    • Menu della casella di query KQL di una query

      Screenshot dell'opzione Salva come strumento in una casella di query KQL.

  3. Nel pannello a comparsa Salva strumento visualizzato immettere i dettagli seguenti:

    • Nome: Un nome individuabile per lo strumento che consente ai modelli di intelligenza artificiale di identificare e selezionare correttamente lo strumento per attività specifiche.

    • Descrizione: Descrizione dello strumento. Per altre informazioni, vedere Procedure consigliate per la creazione di descrizioni degli strumenti.

    • Collezione: Scegliere se aggiungere lo strumento a una raccolta di strumenti esistente o crearne uno nuovo selezionando Crea nuova raccolta.

    • Area di lavoro predefinita: Area di lavoro predefinita che l'agente deve usare come suggerimento ogni volta che un prompt non specifica alcuna area di lavoro.

    • Parametri (facoltativo): Input personalizzabili supportati dallo strumento. È possibile convertire alcuni dei valori nella query KQL in parametri che seguono il formato, quindi aggiungerne il {ParamaterName}nome e la descrizione dei parametri in modo che l'agente abbia una buona conoscenza di come popolarli in base al contesto di conversazione disponibile.

    Screenshot del pannello a comparsa dello strumento personalizzato MCP nella ricerca avanzata.

    Screenshot di una query KQL con determinati valori convertiti in parametri.

  4. Seleziona Salva.

Visualizzare gli strumenti MCP personalizzati salvati

Per visualizzare gli strumenti MCP personalizzati salvati da query di ricerca avanzate, passare alla scheda Strumenti nella pagina Ricerca avanzata .

Procedure consigliate per la creazione di descrizioni degli strumenti

Quando si salva lo strumento personalizzato, il nome e, soprattutto, la descrizione sono fondamentali per identificarlo e selezionarlo per attività specifiche. Le procedure consigliate e le considerazioni seguenti possono essere utili per descrivere lo strumento:

  • Mantienilo breve e orientato all'azione. Usare da una a due frasi che iniziano con un verbo e una risorsa chiari, ad esempio "Recupera i dati del log di controllo per un utente specifico". Evitare il gergo o la formulazione eccessivamente tecnica.

  • Concentrarsi sullo scopo, non sui parametri. Descrivere le operazioni eseguite dallo strumento e il relativo caso d'uso principale. Lasciare i dettagli del parametro allo schema, non alla descrizione.

  • Includere gli hint del flusso di lavoro solo se critico. Se uno strumento richiede un passaggio prerequisito (ad esempio, "Chiama risky_users_tool prima"), menzionarlo brevemente per evitare un uso improprio.

  • Ottimizza per individuabilità e chiarezza. Usare una denominazione coerente, evitare termini ambigui e assicurarsi che le descrizioni aiutino i modelli di intelligenza artificiale e gli utenti a selezionare rapidamente lo strumento giusto.

Usare strumenti personalizzati in agenti personalizzati e piattaforme di codifica

Per altre informazioni su come usare la raccolta di strumenti personalizzata negli agenti di sicurezza, vedere gli articoli per gli editor di codice basati su intelligenza artificiale e le piattaforme per la creazione di agenti seguenti:

Contenuto correlato

  • Last updated on