Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tyto informace se týkají předběžné verze produktu, který může být podstatně změněn před vydáním. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.
Kolekce třídění na serveru MICROSOFT Sentinel Model Context Protocol (MCP) integruje vaše modely AI s rozhraními API, která podporují třídění incidentů a proaktivní vyhledávání. Díky této integraci můžete rychle prioritizovat incidenty a efektivně procházet vlastní data, což zkracuje střední dobu k vyřešení, snižuje rizikové vystavení a dobu setrvání.
Nástroj použijte pro následující scénáře:
- Třídění incidentů: Upřednostněte incidenty rychle pomocí vlastních modelů AI, což zkracuje střední dobu řešení. Pomocí nástrojů můžete získat incidenty, upozornění, důkazy upozornění, entity a další data.
- Lov: Snadno procházejte svá data pomocí vlastních modelů AI, čímž snížíte riziko expozice a čas setrvání. Pomocí nástrojů můžete spouštět dotazy proaktivního vyhledávání a načítat požadovaná data během vyhledávání.
Požadavky
Pokud chcete získat přístup ke kolekci nástrojů pro třídění, musíte mít následující požadavky:
- Microsoft Defender XDR, Microsoft Defender for Endpoint nebo Microsoft Sentinel naimportovány do Defender portálu
- Libovolný z podporovaných editorů kódu využívajících AI a platforem pro sestavování agentů:
Přidat kolekci pro třídění
Pokud chcete přidat kolekci zkoumání dat, musíte nejprve nastavit jednotné rozhraní serveru MCP služby Microsoft Sentinel. Postupujte podle podrobných pokynů pro kompatibilní editory kódu využívající AI a platformy pro sestavování agentů uvedené v části Požadavky .
Kolekce třídění je hostovaná na následující adrese URL:
https://sentinel.microsoft.com/mcp/triage
Nástroje v kolekci třídění
Výpis incidentů zabezpečení (ListIncidents)
Tento nástroj obsahuje seznam incidentů zabezpečení a filtruje je podle rozsahu kalendářních dat, závažnosti, stavu, přiřazeného analytika a stavu šetření.
| Parametry | Povinné? | Description |
|---|---|---|
createdAfter |
Ne | Doba po vytvoření incidentu |
createdBefore |
Ne | Čas před vytvořením incidentu |
Severity |
Ne | Závažnost přiřazená k incidentu (například Nízká nebo Vysoká) |
Status |
Ne | Aktuální stav incidentu (Nový, Aktivní nebo Uzavřeno) |
AssignedTo |
Ne | Uživateli, kterému je incident přiřazen |
Classification |
Ne | Klasifikace (například pravdivě pozitivní nebo falešně pozitivní) |
Determination |
Ne | Určení (například malware nebo phishing) |
orderBy |
Ne | Pokyny pro uspořádání vrácených incidentů |
Search |
Ne | Bezplatné vyhledávání textu napříč daty incidentů |
includeAlertsData |
Ne | Možnost zahrnout data z podkladových výstrah |
skip |
Ne | Přeskočí zadaný počet položek od začátku sady výsledků. |
top |
Ne | Omezuje počet položek vrácených v odpovědi. |
Získání incidentu zabezpečení (GetIncidentById)
Tento nástroj načte bezpečnostní incident podle ID, včetně jeho vlastností, souvisejících výstrah a metadat, jako je stav, závažnost, klasifikace a časová razítka.
| Parametry | Povinné? | Description |
|---|---|---|
incidentID |
Ano | Identifikátor je přidružený k incidentu. |
includeAlertsData |
Ne | Možnost zahrnout data z podkladových výstrah |
Výpis výstrah zabezpečení souvisejících s incidentem (ListAlerts)
Tento nástroj obsahuje seznam výstrah zabezpečení, jejich řazení a filtrování podle rozsahu dat, závažnosti a stavu.
| Parametry | Povinné? | Description |
|---|---|---|
createdAfter |
Ne | Čas vytvoření výstrahy |
createdBefore |
Ne | Čas před vytvořením výstrahy |
Severity |
Ne | Závažnost přiřazená k výstraze (například Nízká nebo Vysoká) |
status |
Ne | Aktuální stav výstrahy; možné hodnoty: Unknown, New, InProgress a Resolved |
skip |
Ne | Přeskočí zadaný počet položek od začátku sady výsledků. |
top |
Ne | Omezuje počet položek vrácených v odpovědi. |
Získání výstrahy zabezpečení (GetAlertByID)
Tento nástroj načte výstrahu zabezpečení podle ID. Vrátí úplné podrobnosti výstrahy, včetně závažnosti, stavu, klasifikace a souvisejících entit důkazů.
| Parametry | Povinné? | Description |
|---|---|---|
AlertID |
Ano | Jedinečný identifikátor výstrahy |
Výpis pokročilých tabulek proaktivního vyhledávání (FetchAdvancedHuntingTablesOverview)
Tento nástroj uvádí názvy dostupných pokročilých vyhledávacích tabulek a jejich stručný popis. Než začnete psát dotazy KQL (Kusto Query Language), je důležité porozumět zdrojům dat.
| Parametry | Povinné? | Description |
|---|---|---|
tableNames |
Ne | Rozšířené názvy tabulek proaktivního vyhledávání |
Získat schéma tabulky pokročilého vyhledávání (FetchAdvancedHuntingTablesDetailedSchema)
Tento nástroj načte kompletní schémata sloupců s popisy pro určené tabulky pokročilého vyhledávání. Informace, které poskytuje, jsou zásadní pro vytváření dotazů KQL bez chyb. Před voláním RunAdvancedHuntingQuerypoužijte tento nástroj .
| Parametry | Povinné? | Description |
|---|---|---|
tableNames |
Ano | Rozšířené názvy tabulek proaktivního vyhledávání |
Spuštění dotazu proaktivního vyhledávání (RunAdvancedHuntingQuery)
Spusťte rozšířený dotaz proaktivního vyhledávání pomocí KQL napříč podporovanými tabulkami Microsoft Defenderu a proaktivně vyhledejte hrozby. Pokud chcete porozumět zdrojům dat, spusťte FetchAdvancedHuntingTablesOverviewnejprve příkaz . Pro kód KQL bez chyb nejprve spusťte FetchAdvancedHuntingTablesDetailedSchema.
| Parametry | Povinné? | Description |
|---|---|---|
kqlQuery |
Ano | Dotaz KQL pro spuštění vybrané tabulky |
timestamp |
Ne | Časové razítko pro výběr dotazu |
Získání informací o souboru (GetDefenderFileInfo)
Získejte podrobnosti o souborech, jako jsou hodnoty hash, velikost, typ, vydavatel, informace o certifikátu podepisující osoby a globální prevalenci s časovými razítky prvního a posledního výskytu.
| Parametry | Povinné? | Description |
|---|---|---|
fileHash |
Ano | Hash SHA-1, SHA-256, nebo MD5 souboru |
Získání statistiky souborů (GetDefenderFileStatistics)
Získejte statistiky výskytu souborů organizace, včetně počtu zařízení, ve kterých byl soubor zjištěn.
| Parametry | Povinné? | Description |
|---|---|---|
fileHash |
Ano | Hash SHA-1, SHA-256, nebo MD5 souboru |
Získání upozornění na soubory (GetDefenderFileAlerts)
Zobrazí seznam všech výstrah zabezpečení vygenerovaných konkrétním souborem ve vaší organizaci, včetně historických a aktivních výstrah.
| Parametry | Povinné? | Description |
|---|---|---|
fileHash |
Ano | Hash SHA-1, SHA-256, nebo MD5 souboru |
Získejte zařízení související se soubory (GetDefenderFileRelatedMachines)
Zobrazte seznam všech zařízení, na která došlo k určitému souboru, aby bylo možné vyhodnotit jeho rozložení napříč vaším prostředím.
| Parametry | Povinné? | Description |
|---|---|---|
fileHash |
Ano | Hash SHA-1, SHA-256, nebo MD5 souboru |
Výpis indikátorů hrozeb (ListDefenderIndicators)
Zobrazí seznam indikátorů ohrožení zabezpečení (IOC) v programu Microsoft Defender for Endpoint. Použijte filtry pro typ, hodnotu, akci a závažnost.
| Parametry | Povinné? | Description |
|---|---|---|
indicatorType |
Ne | Typ ukazatele (například hodnota hash souboru, název domény nebo IP adresa) |
indicatorValue |
Ne | Konkrétní hodnota ukazatele pro filtrování výsledků |
Action |
Ne | Akce použitá na indikátor (výstraha, blokování nebo povolení) |
ApplicationName |
Ne | Aplikace přidružená k indikátoru |
Title |
Ne | Název nebo popis ukazatele |
Severity |
Ne | Úroveň závažnosti (informativní, nízká, střední nebo vysoká) |
createdAfter |
Ne | Vrátit indikátory vytvořené po tomto časovém razítku |
createdBefore |
Ne | Návratové indikátory vytvořené před tímto časovým razítkem |
Seznam automatizovaných šetření (ListDefenderInvestigations)
Seznam automatizovaných případů vyšetřování v Defender for Endpoint Použijte filtry pro stav, cílové zařízení, čas spuštění nebo aktivaci ID upozornění.
| Parametry | Povinné? | Description |
|---|---|---|
startTime |
Ne | Vyšetřování vracení byla zahájena po tomto časovém razítku |
endTime |
Ne | Vyšetřování vrácení se spustilo před tímto časovým razítkem. |
Status |
Ne | Stav šetření (spuštěno, dokončeno nebo neúspěšné) |
skip |
Ne | Přeskočí zadaný počet položek od začátku sady výsledků. |
top |
Ne | Omezuje počet položek vrácených v odpovědi. |
Získat automatické vyšetřování (GetDefenderInvestigation)
Získejte podrobnosti o konkrétním automatizovaném šetření, včetně stavu, časových razítek, cílových zařízení a aktivace upozornění.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor šetření |
Získání všech výstrah zabezpečení pro IP adresu (GetDefenderIpAlerts)
Zobrazí seznam všech výstrah zabezpečení v organizaci, které souvisejí se zadanou IP adresou.
| Parametry | Povinné? | Description |
|---|---|---|
ipAddress |
Ano | IP adresa pro načtení souvisejících výstrah pro |
Získání statistiky pro IP adresu (GetDefenderIpStatistics)
Získejte statistiky pro danou IP adresu, včetně počtu různých zařízení, která s ní komunikovala.
| Parametry | Povinné? | Description |
|---|---|---|
ipAddress |
Ano | IP adresa, pro kterou se načítají statistiky |
Získejte koncové zařízení (GetDefenderMachine)
Získejte podrobné informace o konkrétním zařízení Defender for Endpoint, včetně podrobností operačního systému, stavu, skóre rizika a úrovně expozice.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor zařízení |
Získejte výstrahy zabezpečení související se zařízením (GetDefenderMachineAlerts)
Zobrazte seznam všech výstrah zabezpečení přidružených ke konkrétnímu zařízení pro zobrazení hrozeb orientovaných na zařízení.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor zařízení |
Získejte uživatele, kteří se přihlásili k zařízení (GetDefenderMachineLoggedOnUsers)
Zobrazí seznam účtů přihlášených k zařízení. Pro každého uživatele poskytuje rozhraní API kontext, jako je uživatelské jméno účtu a doména.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor zařízení |
Získání zranitelností zařízení (GetDefenderMachineVulnerabilities)
Seznam zjištěných zranitelných míst na zařízení s podrobnostmi o běžných zranitelných místech a chybách (CVE) a skóre hodnocení rizik.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor zařízení |
Vyhledání zařízení podle interní IP adresy (FindDefenderMachineByIp)
Uveďte všechna zařízení, která komunikují s konkrétní interní IP adresou v časovém rozsahu 15 minut před a po daném časovém razítku, pro mapování sítě a analýzu laterálního přesunu.
| Parametry | Povinné? | Description |
|---|---|---|
ipAddress |
Ano | Interní IP adresa, kterou chcete vyhledat |
timestamp |
Ano | Časové razítko, které definuje dotazovací okno zahrnující 15 minut před a 15 minut po zadaném čase |
Výpis úloh nápravy (ListDefenderRemediationActivities)
Uveďte úlohy nápravy a jejich stav spuštění napříč zařízeními. Každá nápravná aktivita odpovídá doporučení nebo úloze zabezpečení.
| Parametry | Povinné? | Description |
|---|---|---|
Type |
Ne | Typ aktivity nápravy |
machineID |
Ne | Identifikátor ovlivněného zařízení |
Status |
Ne | Stav úlohy nápravy (čeká na vyřízení nebo dokončeno) |
createdTimeFrom |
Ne | Vrácení úkolů vytvořených po tomto časovém razítku |
createdTimeTo |
Ne | Vrácení úkolů vytvořených před tímto časovým razítkem |
skip |
Ne | Přeskočí zadaný počet položek od začátku sady výsledků. |
top |
Ne | Omezuje počet položek vrácených v odpovědi. |
Získání podrobných informací o úkolu řešení (GetDefenderRemediationActivity)
Získejte podrobné informace o úloze nápravy, včetně stavu spuštění, výsledků a ovlivněných zařízení.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor aktivity nápravy |
Zobrazení seznamu výstrah zabezpečení souvisejících s uživatelským účtem (ListUserRelatedAlerts)
Zobrazí seznam všech výstrah zabezpečení přidružených ke konkrétnímu uživatelskému účtu. Tyto informace jsou nezbytné pro zkoumání hrozeb orientovaných na uživatele a analýzu chování.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor uživatelského účtu |
Zobrazení seznamu všech zařízení aktivních pro uživatele (ListUserRelatedMachines)
Zobrazí seznam všech zařízení, ve kterých má konkrétní uživatel aktivní nebo poslední přihlašovací relace. Tento nástroj slouží ke sledování aktivity uživatelů a analýze laterálního pohybu.
| Parametry | Povinné? | Description |
|---|---|---|
ID |
Ano | Jedinečný identifikátor uživatelského účtu |
Zobrazení seznamu všech zařízení ovlivněných ohrožením zabezpečení (ListDefenderMachinesByVulnerability)
Vypíše všechna zařízení ovlivněná konkrétním ohrožením zabezpečení CVE. Tento nástroj je kritický pro stanovení priorit správy oprav.
| Parametry | Povinné? | Description |
|---|---|---|
cveID |
Ano | CVE identifikátor chyby zabezpečení |
Seznam zranitelností ovlivňujících software (ListDefenderVulnerabilitiesBySoftware)
Uveďte ohrožení zabezpečení, která mají vliv na konkrétní software na konkrétním zařízení pro účely posouzení ohrožení zabezpečení.
| Parametry | Povinné? | Description |
|---|---|---|
machineID |
Ano | Jedinečný identifikátor zařízení |
softwareID |
Ano | Jedinečný identifikátor softwaru |
Ukázkové výzvy
Následující ukázkové výzvy ukazují, co můžete dělat s kolekcí třídění:
- Uveďte posledních pět incidentů z mého tenanta a vyhodnoťte, která z nich je nejnaléhavější pro třídění
- Poskytněte upozornění pro <konkrétní incident> a analyzujte důkazy upozornění na škodlivost.
- Spuštěním dotazu proaktivního vyhledávání zkontrolujte, kteří uživatelé komunikovali s <entitou.>
Omezení
- Tuto kolekci nemůžete použít jako host v jiném prostředí ani s delegovaným přístupem. Server MCP můžete používat jenom ve vlastním domovském tenantovi.
- Uživatelé Microsoft Sentinelu nemůžou zvolit, který pracovní prostor se má použít.
- V Microsoft Sentinel Lake se nemůžete dotazovat na data. Místo toho můžete použít nástroje pro zkoumání dat .