Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come configurare e usare la raccolta MCP (Model Context Protocol) di Microsoft Sentinel per abilitare query in linguaggio naturale sui dati di sicurezza. Il supporto di Sentinel per MCP consente ai team di sicurezza di introdurre l'intelligenza artificiale nelle operazioni di sicurezza consentendo ai modelli di intelligenza artificiale di accedere ai dati di sicurezza in modo standard.
La raccolta di strumenti di sicurezza di Sentinel funziona con più client e piattaforme di automazione. È possibile usare questi strumenti per cercare tabelle pertinenti e recuperare dati, analizzare entità, valutare gli eventi imprevisti, cercare minacce e altre attività.
Prerequisiti
La maggior parte degli strumenti nel server MCP di Microsoft Sentinel richiede l'onboarding nel data lake di Microsoft Sentinel per usarli.
È possibile che altri strumenti richiedano anche l'onboarding in almeno uno dei seguenti prodotti:
- Microsoft Sentinel nel portale di Microsoft Defender
- Microsoft Defender XDR o Microsoft Defender per endpoint
- Microsoft Security Copilot
Per altre informazioni sui prerequisiti specifici di una raccolta di strumenti, vedere i rispettivi articoli.
È anche necessario disporre del ruolo Security reader per elencare e richiamare la raccolta di strumenti MCP di Sentinel. La raccolta di strumenti di triage consente di utilizzare qualsiasi strumento che le autorizzazioni esistenti ti permettono.
Aggiungere la raccolta di strumenti MCP di Microsoft Sentinel
Per altre informazioni su come aggiungere la raccolta di strumenti MCP di Microsoft Sentinel, vedere gli articoli per gli editor di codice basati su intelligenza artificiale e le piattaforme di compilazione degli agenti seguenti:
Testare gli strumenti aggiunti con richieste di esempio
Dopo aver aggiunto la raccolta di strumenti di Microsoft Sentinel, usare i prompt di esempio seguenti per interagire con i dati nel data lake di Microsoft Sentinel.
- Trovare i primi tre utenti a rischio e spiegare perché sono a rischio.
- Trovare gli errori di accesso nelle ultime 24 ore e fornire un breve riepilogo dei risultati chiave.
- Identificare i dispositivi che hanno mostrato un numero eccezionale di connessioni di rete in uscita.
- Aiutami a capire se l'ID <oggetto utente> è compromesso.
- Analizzare gli utenti con un'allerta di password spraying negli ultimi sette giorni e indicarmi se qualcuno di essi è compromesso.
- Trovare tutti gli URL Indicatori di Compromissione (IOC) dal <report di analisi delle minacce> e analizzarli per dirmi tutto ciò che Microsoft sa a riguardo.
Per comprendere come gli agenti richiamano questi strumenti per rispondere a queste richieste, vedere Funzionamento degli strumenti MCP di Microsoft Sentinel insieme all'agente.