Esplorare Microsoft Sentinel data lake con la raccolta di esplorazioni dati

Importante

Alcune informazioni si riferiscono a un prodotto preliminare che può essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

La raccolta di strumenti di esplorazione dei dati nel server Microsoft Sentinel Model Context Protocol (MCP) consente di cercare tabelle pertinenti e recuperare dati dal data lake di Microsoft Sentinel usando il linguaggio naturale.

Prerequisiti

Per accedere alla raccolta di strumenti di esplorazione dei dati, sono necessari i prerequisiti seguenti:

Importante

L'accesso a Sentinel strumenti MCP è supportato per utenti, identità gestite o entità servizio assegnate con almeno uno dei ruoli seguenti:

  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Aggiungere la raccolta di esplorazioni dati

Per aggiungere la raccolta di esplorazione dei dati, configurare innanzitutto l'interfaccia del server MCP unificata di Microsoft Sentinel. Seguire le istruzioni dettagliate per gli editor di codice basati su intelligenza artificiale compatibili e le piattaforme per la creazione di agenti.

La raccolta di esplorazione dei dati è ospitata all'URL seguente:

https://sentinel.microsoft.com/mcp/data-exploration

Strumenti nella raccolta di esplorazione dei dati

Ricerca semantica nel catalogo tabelle (search_tables)

Questo strumento individua le tabelle data lake rilevanti per un input del linguaggio naturale specificato e restituisce le definizioni dello schema per supportare la creazione di query. Usare questo strumento per individuare tabelle, comprendere uno schema o compilare query di Linguaggio di query Kusto valide (KQL) per un'area di lavoro Microsoft Sentinel. È anche possibile usarlo per esplorare origini dati non note o identificare le tabelle pertinenti per un'attività investigativa o analitica specifica.

Parametri Obbligatorio? Descrizione
query Questo parametro accetta le parole chiave per cercare le tabelle pertinenti nelle aree di lavoro connesse.
workspaceId No Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a una singola area di lavoro connessa Microsoft Sentinel data lake.

Tabelle supportate

Questo strumento supporta Azure Monitorare Log Analytics. Per un elenco completo delle tabelle, vedere Azure Monitorare le tabelle di log di Log Analytics organizzate per categoria.

Supporta anche la maggior parte delle tabelle Microsoft Sentinel elencate nelle tabelle Microsoft Sentinel e nei connettori associati. Le tabelle seguenti non sono supportate:

Tabelle Microsoft Sentinel non supportate
  • AliCloudActionTrailLogs_CL
  • argsentdc_CL
  • Audit_CL
  • Auth0Logs_CL
  • Awareness_Performance_Details_CL
  • Awareness_SafeScore_Details_CL
  • Awareness_User_Data_CL
  • Awareness_Watchlist_Details_CL
  • CarbonBlack_Alerts_CL
  • Cisco_Umbrella_proxy_CL
  • Cloud_Integrated_CL
  • CloudGuard_SecurityEvents_CL
  • ConfluenceAuditLogs_CL
  • CortexXpanseAlerts_CL
  • CyberSixgill_Alerts_CL
  • DruvaSecurityEvents_CL
  • DynatraceAttacks_CL
  • DynatraceAuditLogs_CL
  • DynatraceProblems_CL
  • DynatraceSecurityProblems_CL
  • ErmesBrowserSecurityEvents_CL
  • FireworkV2_CL
  • Garrison_ULTRARemoteLogs_CL
  • GCPLoadBalancerLogs_CL
  • GitHubAuditLogsV2_CL
  • Health_Data_CL
  • Illumio_Flow_Events_CL
  • IllumioInsightsSummary_CL
  • iocsent_CL
  • Island_Admin_CL
  • Island_User_CL
  • JBossEvent_CL
  • LookoutMtdV2_CL
  • ObsidianActivity_CL
  • ObsidianThreat_CL
  • Onapsis_Defend_CL
  • OneTrustMetadataV3_CL
  • OracleWebLogicServer_CL
  • PaloAltoCortexXDR_Alerts_CL
  • PaloAltoCortexXDR_Audit_Agent_CL
  • PaloAltoCortexXDR_Audit_Management_CL
  • PaloAltoCortexXDR_Endpoints_CL
  • Phosphorus_CL
  • PingOne_AuditActivitiesV2_CL
  • PrismaCloudCompute_CL
  • ProofpointPODMailLog_CL
  • ProofpointPODMessage_CL
  • ProofPointTAPClicksBlockedV2_CL
  • ProofPointTAPMessagesBlockedV2_CL
  • RSAIDPlus_AdminLogs_CL
  • SAPLogServ_CL
  • Seg_Cg_CL
  • Seg_Dlp_CL
  • SeraphicWebSecurity_CL
  • SlackAuditV2_CL
  • Tenable_WAS_Asset_CL
  • TransmitSecurityActivity_CL
  • Ttp_Attachment_CL
  • Ttp_Impersonation_CL
  • Ttp_Url_CL
  • Ubiquiti_CL
  • ValenceAlert_CL
  • vcenter_CL
  • ZimperiumThreatLog_CL
  • ZNSegmentAuditNativePoller_CL

Eseguire una query KQL (Linguaggio di query Kusto) in Microsoft Sentinel data lake (query_lake)

Questo strumento esegue una singola query KQL su un'area di lavoro data lake Microsoft Sentinel specificata e restituisce il set di risultati non elaborato. È progettato per il recupero analitico o investigativo mirato e non per l'esportazione bulk. Usare questo strumento per far avanzare un flusso di lavoro analitico o di analisi e recuperare un evento di sicurezza, un avviso, un asset, un'identità, un dispositivo o dati di arricchimento. È anche possibile usarlo insieme allo search_tables strumento per identificare gli schemi di tabella pertinenti e compilare query KQL valide.

Parametri Obbligatorio? Descrizione
query Questo parametro accetta una query KQL ben formata per recuperare i dati da un'area di lavoro data lake Microsoft Sentinel.
workspaceId No Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a una singola area di lavoro connessa Microsoft Sentinel data lake.

Elencare le aree di lavoro (list_sentinel_workspaces)

Questo strumento elenca tutte le coppie di ID e nome dell'area di lavoro data lake Microsoft Sentinel disponibili. L'inclusione del nome dell'area di lavoro offre un contesto utile per comprendere quale area di lavoro viene usata. Eseguire questo strumento prima di usare qualsiasi altro strumento di Microsoft Sentinel perché tali strumenti necessitano di un argomento ID area di lavoro per funzionare correttamente.

Analizzatore entità

Questi strumenti usano l'intelligenza artificiale per analizzare i dati dell'organizzazione nel data lake Microsoft Sentinel. Forniscono un verdetto e informazioni dettagliate su URL, domini ed entità utente. Consentono di eliminare la necessità di raccolte dati manuali e integrazioni complesse in genere necessarie per arricchire e analizzare le entità.

Ad esempio, analyze_user_entity motivi relativi ai modelli di autenticazione dell'utente, anomalie comportamentali, attività all'interno dell'organizzazione e altro ancora per fornire un verdetto e un'analisi. Nel frattempo, analyze_url_entity i motivi per l'intelligence sulle minacce di Microsoft, l'intelligence sulle minacce personalizzata in Microsoft Sentinel piattaforma di intelligence sulle minacce (TIP), i clic, la posta elettronica o l'attività di connessione nell'URL all'interno dell'organizzazione e la presenza in Microsoft Sentinel watchlist, tra gli altri, per fornire analogamente un verdetto e un'analisi.

Gli strumenti di analisi delle entità potrebbero richiedere alcuni minuti per generare risultati, quindi sono disponibili strumenti per avviare l'analisi per ogni entità e un'altra che esegue il polling dei risultati dell'analisi.

Importante

Per usare lo strumento analizzatore di entità, sono necessari anche i ruoli seguenti:

  • Security Copilot Collaboratore: questo ruolo è necessario per usare lo strumento, che usa le unità di calcolo della sicurezza (SKU) per fornire l'analisi dei rischi delle entità ragionate.
  • Security Copilot Proprietario (facoltativo): questo ruolo è necessario solo per visualizzare e monitorare l'utilizzo di SCU.

Per altre informazioni, vedere Informazioni sull'autenticazione in Microsoft Security Copilot.

Avviare l'analisi (analyze_user_entity e analyze_url_entity)

Parametri Obbligatorio? Descrizione
Microsoft Entra ID oggetto, nome dell'entità utente (UPN) o URL Questo parametro accetta l'utente o l'URL da analizzare.
startTime Questo parametro accetta l'ora di inizio della finestra di analisi.
endTime Questo parametro accetta l'ora di fine della finestra di analisi.
workspaceId No Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a una singola area di lavoro connessa Microsoft Sentinel data lake.

Questi strumenti restituiscono un valore di identificatore che è possibile fornire allo strumento di analisi di recupero come input.

Recuperare l'analisi (get_entity_analysis)

Parametri Obbligatorio? Descrizione
analysisId Questo parametro accetta l'identificatore del processo ricevuto dagli strumenti di analisi iniziale.

Anche se questo strumento esegue automaticamente il polling per alcuni minuti fino a quando i risultati non sono pronti, il timeout interno potrebbe non essere sufficiente per operazioni di analisi lunghe. Potrebbe essere necessario eseguirlo più volte per ottenere risultati.

Nota

Potrebbe essere utile includere una richiesta, ad render the results as returned exactly from the toolesempio , che consente di garantire che la risposta dell'analizzatore venga fornita senza ulteriori elaborazioni da parte del client MCP.

Informazioni aggiuntive

  • analyze_user_entity supporta un intervallo di tempo massimo di sette giorni per ottimizzare l'accuratezza dei risultati.

  • analyze_user_entityfunziona solo per gli utenti con un ID oggetto Microsoft Entra (utenti). Gli utenti locali solo di Active Directory non sono supportati per l'analisi degli utenti.

  • analyze_user_entity richiede che le tabelle seguenti siano presenti nel data lake per garantire l'accuratezza dell'analisi:

    Se non si dispone di una di queste tabelle necessarie, analyze_user_entity genera un messaggio di errore che elenca le tabelle non caricate, insieme ai collegamenti alla documentazione di onboarding corrispondente.

  • analyze_user_entity funziona meglio quando le tabelle seguenti sono presenti anche nel data lake, ma continuano a funzionare e valutare i rischi, anche se tali tabelle non sono disponibili:

  • analyze_url_entity funziona meglio quando le tabelle seguenti sono presenti nel data lake, ma continuano a funzionare e valutare i rischi, anche se tali tabelle non sono disponibili:

    Se non si dispone di una di queste tabelle, analyze_url_entity genera una risposta con una dichiarazione di non responsabilità che elenca le tabelle non caricate, insieme ai collegamenti alla documentazione di onboarding corrispondente.

  • L'esecuzione simultanea di più istanze dell'analizzatore di entità può aumentare la latenza per ogni esecuzione. Per evitare timeout ed evitare di raggiungere le soglie di anteprima dell'analizzatore di entità, iniziare eseguendo un massimo di cinque analisi contemporaneamente e quindi regolandolo in base alle esigenze in base alla frequenza con cui l'app per la logica viene attivata nell'organizzazione.

Richieste di esempio

I prompt di esempio seguenti illustrano cosa è possibile fare con la raccolta di esplorazione dei dati:

  • Trovare i primi tre utenti a rischio e spiegare perché sono a rischio.
  • Trovare gli errori di accesso nelle ultime 24 ore e fornire un breve riepilogo dei risultati principali.
  • Identificare i dispositivi che hanno mostrato un numero in sospeso di connessioni di rete in uscita.
  • Aiutami a capire se l'ID> oggetto utente dell'utente <è compromesso.
  • Analizzare gli utenti con un avviso di spray password negli ultimi sette giorni e dirmi se qualcuno di loro è compromesso.
  • Trovare tutti gli IIC URL del <report> di analisi delle minacce e analizzarli per dirmi tutto ciò che Microsoft sa su di essi.

Come funzionano Microsoft Sentinel strumenti MCP insieme all'agente

Si esaminerà in modo più approfondito il modo in cui un agente risponde a una richiesta orchestrando dinamicamente gli strumenti.

Richiesta di esempio:Find the top three users that are at risk and explain why they're at risk.

Risposta tipica (GitHub Copilot usando Claude Sonnet 4):

Screenshot di una risposta GitHub Copilot.

Spiegazione:

  • Quando l'agente riceve la richiesta, cerca le tabelle pertinenti che contengono informazioni sul rischio utente e sulla sicurezza. Si inizia decostruendo la richiesta in parole chiave di ricerca per trovare le tabelle.

    Dal prompt dell'esempio, la ricerca identifica quattro tabelle rilevanti dall'ambito delle tabelle a cui l'utente ha accesso:

    • AADNonInteractiveUserSignInLogs- Eventi di accesso Microsoft Entra ID non interattivi
    • BehaviorAnalytics - Dati UEBA (User and Entity Behavior Analytics)
    • SigninLogs- Eventi di accesso interattivi Microsoft Entra ID
    • AADUserRiskEvents - Rilevamento dei rischi di protezione delle identità

    Screenshot dell'agente che cerca tabelle pertinenti che contengono informazioni sul rischio utente e sulla sicurezza.

  • L'agente esegue un'altra ricerca usando lo strumento Ricerca semantica nel catalogo tabelle (search_tables), questa volta con termini più ampi, per trovare altre tabelle da cui eseguire query sui dati per influenzarne il ragionamento.

    Screenshot dell'agente che esegue la ricerca usando termini più ampi.

  • L'agente identifica le tabelle pertinenti e quindi usa la query Execute KQL (Linguaggio di query Kusto) in Microsoft Sentinel data lake (query_lake) tool per eseguire query sui dati e trovare i primi tre utenti a rischio. Il primo tentativo ha esito negativo perché la query KQL presenta un errore semantico.

    Screenshot dell'agente che tenta di eseguire una query KQL con un errore semantico.

  • L'agente corregge la query KQL da solo e recupera correttamente i dati da Microsoft Sentinel data lake, individuando gli utenti a rischio.

    Screenshot dell'agente che tenta di eseguire una query KQL corretta.

  • L'agente esegue un'altra query per ottenere informazioni dettagliate sugli utenti a rischio per fornire un contesto migliore sul motivo per cui sono a rischio.

    Screenshot dell'agente che esegue un'altra query per ottenere informazioni dettagliate sull'utente.

  • L'agente risponde all'utente con l'analisi completa.

Contenuto correlato

  • Last updated on