Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel, naše platforma zabezpečení, zavádí podporu protokolu MCP (Model Context Protocol). Tato podpora zahrnuje několik kolekcí nástrojů zabezpečení zaměřených na scénáře prostřednictvím sjednoceného serverového rozhraní. Díky této podpoře můžete interaktivně dotazovat data zabezpečení v přirozeném jazyce a vytvářet efektivní agenty zabezpečení, kteří můžou provádět složitou automatizaci. Naše kolekce nástrojů zabezpečení pomáhá týmům zabezpečení přivést AI do každodenních operací zabezpečení, aby pomohly s běžnými úlohami, jako je zkoumání dat, sestavování automatizace agentů a třídění incidentů a proaktivního vyhledávání hrozeb.
Klíčové funkce podpory Microsoft Sentinelu pro MCP
Následující funkce a výhody jsou součástí serverů MCP microsoft Sentinelu:
Jednotné hostované rozhraní pro operace zabezpečení řízené AI: Jednotné rozhraní serveru MCP služby Microsoft Sentinel je plně hostované, nevyžaduje žádné nasazení infrastruktury a používá Microsoft Entra pro identitu. Týmy zabezpečení můžou propojit kompatibilní klienty, aby zjednodušily každodenní operace umělé inteligence.
Nástroje zabezpečení přirozeného jazyka zaměřené na scénáře: Podpora MCP od Microsoft Sentinelu přichází prostřednictvím kolekcí připravených nástrojů zabezpečení zaměřené na scénáře. Tyto kolekce pomáhají týmům zabezpečení pracovat s daty zabezpečení v datovém jezeře Microsoft Sentinel a Microsoft Defender pomocí přirozeného jazyka, čímž eliminují potřebu zahajovat integraci kódem, rozumět schématu dat nebo psát dobře formátované dotazy na data.
Akcelerovaný vývoj efektivních agentů zabezpečení: Kolekce nástrojů zabezpečení od Microsoft Sentinelu automatizuje zjišťování a načítání dat zabezpečení a poskytuje předvídatelné a použitelné odpovědi na přizpůsobení agentů. Tato podpora urychluje efektivní vytváření agenta zabezpečení a zajišťuje lepší a vysoce efektivní agenty zabezpečení.
Nákladově efektivní integrace dat zabezpečení s bohatým kontextem: Data Lake umožňuje přenést všechna data zabezpečení do Služby Microsoft Sentinel nákladově efektivní, takže si nemusíte vybírat mezi pokrytím a náklady. Kolekce nástrojů Microsoft Sentinelu se nativně integruje s datovým jezerem zabezpečení a programem Microsoft Defender a umožňuje vytvářet komplexní přípravu kontextu zabezpečení.
Úvod do MCP
Protokol MCP (Model Context Protocol) je otevřený protokol, který spravuje způsob interakce jazykových modelů s externími nástroji, pamětí a kontexty bezpečným, strukturovaným a stavovým způsobem. MCP používá architekturu klient-server s několika komponentami:
Hostitel MCP: Aplikace AI, která koordinuje a spravuje jednoho nebo více klientů MCP
Klient MCP: Komponenta, která udržuje připojení k serveru MCP a získává kontext ze serveru MCP, aby ho hostitel MCP používal.
Server MCP: Program poskytující kontext klientům MCP
Visual Studio Code například funguje jako hostitel MCP. Když Visual Studio Code vytvoří připojení k serveru MCP, jako je například server MCP služby Microsoft Sentinel pro zkoumání dat, vytvoří modul runtime visual Studio Code instanci klientského objektu MCP, který udržuje připojení k připojenému serveru MCP.
Další informace o architektuře MCP
Scénáře použití kolekcí MCP služby Microsoft Sentinel
Když připojíte kompatibilního klienta s kolekcemi MCP služby Microsoft Sentinel, můžete pomocí nástrojů:
Interaktivně prozkoumejte dlouhodobá data zabezpečení: Bezpečnostní analytici a lovci hrozeb, jako jsou ti, kteří se zaměřují na útoky založené na identitě, potřebují rychle dotazovat a korelovat data napříč různými tabulkami zabezpečení. Dnes musí mít znalosti o všech tabulkách a datech, která každá tabulka obsahuje. S naší kolekcí zkoumání dat teď analytici můžou pomocí výzev přirozeného jazyka vyhledávat a načítat relevantní data z tabulek v datovém jezeře Microsoft Sentinelu, aniž by si museli pamatovat tabulky a jejich schéma nebo psát správně vytvořené dotazy k jazyku Kusto Query Language (KQL).
Analytik může například hledat možné vnitřní hrozby tím, že koreluje aktivitu souborů s popiskem citlivosti Purview, aby odhalil známky exfiltrace dat, porušení zásad nebo podezřelého chování uživatele, které mohlo být během původního 90 až 180denního a časového intervalu bez upozornění. Tento interaktivní přístup zrychluje zjišťování a vyšetřování hrozeb a současně snižuje závislost na ruční formulaci dotazů.
Analyzujte entity napříč daty zabezpečení: Technici, analytici a agenti Security Operations Center (SOC) potřebují snadný způsob, jak analyzovat a provádět triage entity, jako jsou adresy URL a uživatelé, využitím všech dat o zabezpečení organizace. Dnešní fragmentované zdroje dat však tento proces dělají složitým a časově náročným na automatizaci. Jako jeden z nejběžnějších úkolů třídění incidentů se proto rozšiřování entit často stává ručním úsilím při shromažďování kontextu, což zpomaluje dobu odezvy. Díky nástrojům analyzátoru entit v kolekci pro prozkoumávání dat mají analytici a inženýři SOC k dispozici akci jedním kliknutím, která může získat, analyzovat a jasně prezentovat komplexní hodnocení a analýzy entit, využívajících bezpečnostní data v datovém jezeře, což usnadňuje automatizaci rozšiřování informací o entitách pro vás a vaše agenty, které vytváříte.
Budování agentů Security Copilot prostřednictvím přirozeného jazyka: Technici SOC často tráví týdny ručním vytvářením automatizace playbooků kvůli fragmentovaným zdrojům dat a pevným požadavkům na schéma. Pomocí našich nástrojů pro vytváření agentů můžou inženýři popsat svůj záměr v přirozeném jazyce, aby mohli rychle vytvářet agenty pomocí správných pokynů a nástrojů modelu AI, které zdůvodní data zabezpečení a vytvářejí automatizace, které jsou přizpůsobené pracovním postupům a procesům organizace.
Řazení incidentů a vyhledávání hrozeb: Technici SOC potřebují rychle určit prioritu incidentů a snadno prohledávat data vaší organizace, aniž by se museli obávat problémů pracovních postupů zabezpečení a interoperability mezi platformami a nástroji, které používají. Naše kolekce nástrojů pro třídění integruje vaše modely AI s rozhraními API, která podporují třídění incidentů a proaktivní vyhledávání. Tato integrace zkracuje průměrnou dobu řešení, vystavení rizik a času pro pobyt a umožňuje vašemu týmu využívat AI k chytřejšímu a rychlejšímu rozhodování.
Začínáme se tříděním incidentů a proaktivním vyhledáváním hrozeb