Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come configurare e usare la raccolta MCP (Model Context Protocol) di Microsoft Sentinel per abilitare query in linguaggio naturale sui dati di sicurezza. il supporto di Sentinel per MCP consente ai team di sicurezza di inserire l'intelligenza artificiale nelle operazioni di sicurezza consentendo ai modelli di intelligenza artificiale di accedere ai dati di sicurezza in modo standard.
la raccolta di strumenti di sicurezza di Sentinel funziona con più client e piattaforme di automazione. È possibile usare questi strumenti per cercare tabelle rilevanti e recuperare dati, analizzare entità, valutare gli eventi imprevisti, cercare minacce e altre attività.
Prerequisiti
La maggior parte degli strumenti nel Microsoft Sentinel server MCP richiede l'onboarding nel data lake Microsoft Sentinel per usarli.
Altri strumenti potrebbero anche richiedere l'onboarding di almeno uno dei prodotti seguenti:
- Microsoft Sentinel nel portale di Microsoft Defender
- Microsoft Defender XDR o Microsoft Defender per endpoint
- Microsoft Security Copilot
Per altre informazioni sui prerequisiti specifici di una raccolta di strumenti, vedere i rispettivi articoli.
È anche necessario il ruolo lettore di sicurezza per elencare e richiamare Sentinel raccolta di strumenti MCP. La raccolta di strumenti di valutazione consente di usare qualsiasi strumento concesso dalle autorizzazioni esistenti.
Aggiungere la raccolta di strumenti MCP di Microsoft Sentinel
Per altre informazioni su come aggiungere Microsoft Sentinel raccolta di strumenti MCP, vedere gli articoli per gli editor di codice basati su intelligenza artificiale e le piattaforme per la creazione di agenti seguenti:
Testare gli strumenti aggiunti con richieste di esempio
Dopo aver aggiunto la raccolta di strumenti di Microsoft Sentinel, usare le richieste di esempio seguenti per interagire con i dati nel data lake Microsoft Sentinel.
- Trovare i primi tre utenti a rischio e spiegare perché sono a rischio.
- Trovare gli errori di accesso nelle ultime 24 ore e fornire un breve riepilogo dei risultati principali.
- Identificare i dispositivi che hanno mostrato un numero in sospeso di connessioni di rete in uscita.
- Aiutami a capire se l'ID> oggetto utente dell'utente <è compromesso.
- Analizzare gli utenti con un avviso di spray password negli ultimi sette giorni e dirmi se qualcuno di loro è compromesso.
- Trovare tutti gli IIC URL del <report> di analisi delle minacce e analizzarli per dirmi tutto ciò che Microsoft sa su di essi.
Per informazioni sul modo in cui gli agenti richiamano questi strumenti per rispondere a queste richieste, vedere Come funzionano gli strumenti MCP Microsoft Sentinel insieme all'agente.
Disattivare Microsoft Sentinel accesso agli strumenti MCP
Per disattivare l'accesso alla raccolta di strumenti MCP di Microsoft Sentinel, contattare il supporto tecnico.