Condividi tramite

Esplorare il data lake di Microsoft Sentinel con la raccolta di esplorazione dati

Importante

Alcune informazioni sono correlate a un prodotto in versione non definitiva che potrebbe essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

La raccolta di strumenti di esplorazione dei dati nel server MCP (Model Context Protocol) di Microsoft Sentinel consente di cercare tabelle pertinenti e recuperare dati dal data lake di Microsoft Sentinel usando il linguaggio naturale.

Prerequisiti

Per accedere alla raccolta di strumenti di esplorazione dei dati, sono necessari i prerequisiti seguenti:

Aggiungere la raccolta di esplorazione dei dati

Per aggiungere la raccolta di esplorazione dei dati, configurare prima di tutto l'interfaccia server MCP unificata di Microsoft Sentinel. Seguire le istruzioni dettagliate per gli editor di codice compatibili basati su intelligenza artificiale e piattaforme per la compilazione di agenti.

La raccolta di esplorazione dei dati è ospitata nell'URL seguente:

https://sentinel.microsoft.com/mcp/data-exploration

Strumenti nella raccolta di esplorazione dei dati

Ricerca semantica nel catalogo tabelle (search_tables)

Questo strumento individua le tabelle data lake rilevanti per un determinato input in linguaggio naturale e restituisce le definizioni dello schema per supportare la creazione di query. Usare questo strumento per individuare tabelle, comprendere uno schema o compilare query KQL (Kusto Query Language) valide per un'area di lavoro di Microsoft Sentinel. È anche possibile usarlo per esplorare origini dati non note o identificare le tabelle pertinenti per un'attività analitica o investigativa specifica.

Per un elenco completo delle tabelle in questo indice, vedere tabelle di log di Log Analytics di Azure Monitor suddivise per categoria.

Parametri Obbligatorio? Description
query Yes Questo parametro accetta parole chiave per cercare le tabelle pertinenti nelle aree di lavoro connesse.
workspaceId NO Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a un'unica area di lavoro data lake di Microsoft Sentinel connessa.

Eseguire una query utilizzando KQL (Kusto Query Language) su Microsoft Sentinel Data Lake (query_lake)

Questo strumento esegue una singola query KQL su un'area di lavoro data lake di Microsoft Sentinel specificata e restituisce il set di risultati non elaborato. È progettato per il recupero analitico o investigativo mirato e non per l'esportazione in blocco. Usare questo strumento per avanzare un'analisi o un flusso di lavoro analitico e recuperare un evento di sicurezza, un avviso, un asset, un'identità, un dispositivo o dati di arricchimento. È anche possibile usarlo insieme allo search_tables strumento per identificare gli schemi di tabella pertinenti e compilare query KQL valide.

Parametri Obbligatorio? Description
query Yes Questo parametro accetta una query KQL ben formata per recuperare i dati da un'area di lavoro data lake di Microsoft Sentinel.
workspaceId NO Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a un'unica area di lavoro data lake di Microsoft Sentinel connessa.

Elencare le aree di lavoro (list_sentinel_workspaces)

Questo strumento elenca tutte le coppie di nome e ID delle aree di lavoro del data lake di Microsoft Sentinel disponibili per te. L'inclusione del nome dell'area di lavoro fornisce un contesto utile per comprendere quale area di lavoro viene usata. Eseguire questo strumento prima di usare qualsiasi altro strumento di Microsoft Sentinel perché questi strumenti necessitano di un argomento ID area di lavoro per funzionare correttamente.

Analizzatore di entità (anteprima)

Questi strumenti usano l'intelligenza artificiale per analizzare i dati dell'organizzazione nel data lake di Microsoft Sentinel. Forniscono un verdetto e informazioni dettagliate sugli URL, i domini e le entità utente. Consentono di eliminare la necessità di raccolte dati manuali e integrazioni complesse in genere necessarie per arricchire e analizzare le entità.

Ad esempio, analyze_user_entity motivi relativi ai modelli di autenticazione dell'utente, anomalie comportamentali, attività all'interno dell'organizzazione e altro ancora per fornire un verdetto e un'analisi. Nel frattempo, analyze_url_entity analizza l'intelligence sulle minacce di Microsoft, la vostra intelligence sulle minacce personalizzata nella piattaforma di intelligence sulle minacce di Microsoft Sentinel (TIP), attività di clic, email o connessione sull'URL all'interno della vostra organizzazione, e la presenza negli elenchi di controllo di Microsoft Sentinel, tra gli altri, per fornire un'analisi e un verdetto simili.

Gli strumenti di analisi delle entità potrebbero richiedere alcuni minuti per generare risultati, quindi esistono strumenti per avviare l'analisi per ogni entità e un altro che esegue il polling dei risultati dell'analisi.

Avviare l'analisi (analyze_user_entity e analyze_url_entity)

Parametri Obbligatorio? Description
ID o URL dell'oggetto Microsoft Entra Yes Questo parametro accetta l'utente o l'URL da analizzare.
startTime Yes Questo parametro accetta l'ora di inizio della finestra di analisi.
endTime Yes Questo parametro richiede l'ora di fine della finestra di analisi.
workspaceId NO Questo parametro accetta un identificatore dell'area di lavoro per limitare la ricerca a un'unica area di lavoro data lake di Microsoft Sentinel connessa.

Questi strumenti restituiscono un valore di identificatore che è possibile fornire allo strumento di analisi di recupero come input.

Recuperare l'analisi (get_entity_analysis)

Parametri Obbligatorio? Description
analysisId Yes Questo parametro accetta l'identificatore del processo fornito dagli strumenti di analisi iniziale.

Sebbene questo strumento esegua automaticamente il polling per alcuni minuti fino a quando i risultati non sono pronti, il timeout interno potrebbe non essere sufficiente per operazioni di analisi lunghe. Potrebbe essere necessario eseguirlo più volte per ottenere i risultati.

Annotazioni

Può essere utile includere un prompt, render the results as returned exactly from the toolad esempio , che consente di garantire che la risposta dell'analizzatore venga fornita senza ulteriore elaborazione da parte del client MCP.

Informazioni aggiuntive

  • analyze_user_entity supporta un intervallo di tempo massimo di sette giorni per ottimizzare l'accuratezza dei risultati.

  • analyze_user_entity richiede che le tabelle seguenti siano presenti nel data lake per garantire l'accuratezza dell'analisi:

    Se non si dispone di alcuna di queste tabelle necessarie, analyze_user_entity genera un messaggio di errore che elenca le tabelle non caricate, insieme ai collegamenti alla relativa documentazione di onboarding corrispondente.

  • analyze_user_entity funziona meglio quando la tabella seguente è presente anche nel data lake, ma continua a funzionare e valutare i rischi, anche se la tabella specificata non è disponibile:

  • analyze_url_entity funziona meglio quando le tabelle seguenti sono presenti nel data lake, ma continua a funzionare e valutare i rischi, anche se le tabelle indicate non sono disponibili:

    Se non si dispone di alcuna di queste tabelle, analyze_url_entity genera una risposta con una dichiarazione di non responsabilità che elenca le tabelle di cui non è stato eseguito l'onboarding, insieme ai collegamenti alla documentazione di onboarding corrispondente.

  • L'esecuzione di più istanze dell'analizzatore di entità contemporaneamente può aumentare la latenza per ogni esecuzione. Per evitare timeout, iniziate eseguendo un massimo di cinque analisi contemporaneamente e quindi regolate questo numero in base al modo in cui l'analizzatore opera nella vostra organizzazione.

Richieste di esempio

I prompt di esempio seguenti illustrano le operazioni che è possibile eseguire con la raccolta di esplorazione dei dati:

  • Trovare i primi tre utenti a rischio e spiegare perché sono a rischio.
  • Trovare gli errori di accesso nelle ultime 24 ore e fornire un breve riepilogo dei risultati chiave.
  • Identificare i dispositivi che hanno mostrato un numero eccezionale di connessioni di rete in uscita.
  • Aiutami a capire se l'ID <oggetto utente> è compromesso.
  • Analizzare gli utenti con un'allerta di password spraying negli ultimi sette giorni e indicarmi se qualcuno di essi è compromesso.
  • Trovare tutti gli URL Indicatori di Compromissione (IOC) dal <report di analisi delle minacce> e analizzarli per dirmi tutto ciò che Microsoft sa a riguardo.

Funzionamento degli strumenti MCP di Microsoft Sentinel insieme all'agente

Esaminiamo in modo più approfondito il modo in cui un agente risponde a una richiesta orchestrando dinamicamente gli strumenti.

Richiesta di esempio:Find the top three users that are at risk and explain why they're at risk.

Risposta tipica (GitHub Copilot con Claude Sonnet 4):

Screenshot di una risposta di GitHub Copilot.

Spiegazione:

  • Quando l'agente riceve il prompt, cerca le tabelle pertinenti che contengono informazioni sul rischio utente e sulla sicurezza. Inizia decostruendo il prompt nelle parole chiave di ricerca per trovare le tabelle.

    Dal prompt di esempio, la ricerca identifica quattro tabelle pertinenti dall'ambito delle tabelle a cui l'utente ha accesso:

    • AADNonInteractiveUserSignInLogs - Eventi di accesso di Microsoft Entra ID non interattivi
    • BehaviorAnalytics - Dati di Analisi del comportamento dell'utente e dell'entità (UEBA)
    • SigninLogs - Eventi di accesso interattivo di Microsoft Entra ID
    • AADUserRiskEvents - Rilevazione dei rischi di protezione dell'identità

    Screenshot dell'agente che cerca le tabelle pertinenti che contengono informazioni sul rischio utente e sulla sicurezza.

  • L'agente esegue un'altra ricerca usando lo strumento Ricerca semantica sul catalogo tabelle (search_tables), questa volta con termini più ampi, per trovare altre tabelle da cui eseguire query sui dati per influenzare il suo ragionamento.

    Screenshot dell'agente che cerca usando termini più ampi.

  • L'agente identifica le tabelle pertinenti e quindi usa la query Execute KQL (Kusto Query Language) su Microsoft Sentinel data lake (query_lake) per eseguire query sui dati e trovare i primi tre utenti a rischio. Il primo tentativo ha esito negativo perché la query KQL presenta un errore semantico.

    Screenshot dell'agente che sta cercando di eseguire una query KQL con un errore semantico.

  • L'agente corregge la query KQL autonomamente e recupera correttamente i dati dal data lake di Microsoft Sentinel, individuando gli utenti rischiosi.

    Screenshot del tentativo dell'agente di eseguire una query KQL corretta.

  • L'agente esegue un'altra query per ottenere informazioni dettagliate sugli utenti rischiosi per fornire un contesto migliore sul motivo per cui sono a rischio.

    Screenshot dell'agente che esegue un'altra query per ottenere informazioni dettagliate sull'utente.

  • L'agente risponde all'utente con l'analisi completa.

Contenuti correlati

  • Last updated on