Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel, la piattaforma di sicurezza, introduce il supporto per il protocollo MCP (Model Context Protocol). Questo supporto include multiple collezioni incentrate su diversi scenari degli strumenti di sicurezza tramite un'interfaccia server unificata. Con questo supporto, è possibile eseguire query interattive sui dati di sicurezza in linguaggio naturale e creare agenti di sicurezza efficaci che possono eseguire un'automazione complessa. La raccolta di strumenti di sicurezza consente ai team di sicurezza di introdurre l'intelligenza artificiale nelle operazioni di sicurezza quotidiane per facilitare attività comuni, come l'esplorazione dei dati, la creazione di automazione agenti e la valutazione degli eventi imprevisti e la ricerca delle minacce.
Funzionalità principali del supporto di Microsoft Sentinel per MCP
Le funzionalità e i vantaggi seguenti fanno parte dei server MCP di Microsoft Sentinel:
Interfaccia unificata ospitata per le operazioni di sicurezza guidate dall'intelligenza artificiale: l'interfaccia server MCP unificata di Microsoft Sentinel è completamente ospitata, non richiede alcuna distribuzione dell'infrastruttura e usa Microsoft Entra per identità. I team di sicurezza possono connettere client compatibili per semplificare le operazioni quotidiane di intelligenza artificiale.
Strumenti di sicurezza incentrati sullo scenario e sul linguaggio naturale: il supporto MCP di Microsoft Sentinel include raccolte incentrate sullo scenario di strumenti di sicurezza pronti per l'uso. Queste raccolte consentono ai team di sicurezza di interagire e ragionare sui dati di sicurezza in Microsoft Sentinel data lake e Microsoft Defender usando il linguaggio naturale, rimuovendo la necessità di integrazione code-first, comprendere lo schema dei dati o scrivere query di dati ben formate.
Sviluppo accelerato di agenti di sicurezza efficaci: la raccolta di strumenti di sicurezza di Microsoft Sentinel automatizza l'individuazione e il recupero dei dati di sicurezza e offre risposte prevedibili e utilizzabili per personalizzare gli agenti. Questo supporto accelera la creazione efficiente degli agenti di sicurezza e offre agenti di sicurezza migliori e altamente efficaci.
Integrazione dei dati di sicurezza economica e ricca di contesto: il data lake consente di inserire tutti i dati di sicurezza in Microsoft Sentinel in modo economicamente vantaggioso, quindi non è necessario scegliere tra copertura e costi. La raccolta di strumenti di Microsoft Sentinel si integra in modo nativo con il data lake per la sicurezza e Microsoft Defender, consentendo di creare una progettazione completa del contesto di sicurezza.
Introduzione a MCP
Il protocollo MCP (Model Context Protocol) è un protocollo aperto che gestisce il modo in cui i modelli linguistici interagiscono con strumenti, memoria e contesto esterni in modo sicuro, strutturato e con stato. MCP usa un'architettura client-server con diversi componenti:
Host MCP: applicazione di intelligenza artificiale che coordina e gestisce uno o più client MCP
Client MCP: componente che gestisce una connessione a un server MCP e ottiene il contesto da un server MCP per l'host MCP da usare
Server MCP: programma che fornisce contesto ai client MCP
Ad esempio, Visual Studio Code funge da host MCP. Quando Visual Studio Code stabilisce una connessione a un server MCP, ad esempio il server MCP di Microsoft Sentinel per l'esplorazione dei dati, il runtime di Visual Studio Code crea un'istanza di un oggetto client MCP che gestisce la connessione al server MCP connesso.
Altre informazioni sull'architettura MCP
Scenari per l'uso delle raccolte MCP di Microsoft Sentinel
Quando si connette un client compatibile con le raccolte MCP di Microsoft Sentinel, è possibile usare gli strumenti per:
Esplorare in modo interattivo i dati di sicurezza a lungo termine: gli analisti della sicurezza e i cacciatori di minacce, come quelli incentrati sugli attacchi basati sulle identità, devono eseguire rapidamente query e correlare i dati tra varie tabelle di sicurezza. Oggi devono avere conoscenze di tutte le tabelle e dei dati contenuti in ogni tabella. Con la raccolta di esplorazione dei dati, gli analisti possono ora usare prompt in linguaggio naturale per cercare e recuperare i dati pertinenti dalle tabelle nel data lake di Microsoft Sentinel senza dover ricordare tabelle e il relativo schema o scrivere query KQL (Kusto Query Language) ben formate.
Ad esempio, un analista può cercare possibili minacce interne correlando l'attività dei file con l'etichetta di riservatezza Purview per scoprire i segni di esfiltrazione dei dati, violazioni dei criteri o comportamenti sospetti che potrebbero non essere stati rilevati durante l'intervallo di tempo da 90 a 180 giorni originale. Questo approccio interattivo accelera l'individuazione e l'analisi delle minacce riducendo al contempo la dipendenza dalla formulazione manuale delle query.
Analizzare le entità tra i dati di sicurezza: I tecnici, gli analisti e gli agenti di Security Operations Center (SOC) necessitano di un modo semplice per analizzare e valutare le entità, ad esempio URL e utenti, usando tutti i dati di sicurezza di un'organizzazione. Tuttavia, le origini dati frammentate di oggi rendono questo processo complesso e dispendioso in termini di tempo per l'automazione. Come una delle attività di valutazione degli incidenti più comuni, l'arricchimento delle entità diventa quindi un'attività manuale di raccolta delle informazioni contestuali, rallentando i tempi di risposta. Con gli strumenti per l'analisi delle entità nella raccolta di esplorazione dei dati, gli analisti e gli ingegneri SOC dispongono di un'azione con un solo clic che consente di recuperare, elaborare e presentare chiaramente verdetti e analisi complete sulle entità, impiegando i dati di sicurezza contenuti nel data lake, rendendo più facile l'automazione dell'arricchimento delle entità per te e gli agenti che sviluppi.
Introduzione all'analisi automatica delle entità durante le indagini
Creare agenti copiloti di sicurezza tramite il linguaggio naturale: I tecnici SOC spesso impiegano settimane a automatizzare manualmente i playbook a causa di origini dati frammentate e requisiti rigidi dello schema. Con gli strumenti di creazione degli agenti, i tecnici possono descrivere la loro finalità in linguaggio naturale per creare rapidamente agenti con le istruzioni e gli strumenti corretti del modello di intelligenza artificiale che riguardano i dati di sicurezza, creando automazione personalizzate in base ai flussi di lavoro e ai processi dell'organizzazione.
Valutare gli eventi imprevisti e cercare minacce: I tecnici SOC devono dare priorità agli eventi imprevisti rapidamente e cercare facilmente i propri dati dell'organizzazione senza doversi preoccupare dei problemi del flusso di lavoro di sicurezza e dell'interoperabilità tra piattaforme e strumenti usati. La nostra raccolta di strumenti di triage integra i modelli di intelligenza artificiale con le API che supportano il triage degli incidenti e il monitoraggio. Questa integrazione riduce il tempo medio per la risoluzione, l'esposizione ai rischi e il tempo di attesa e consente al team di sfruttare l'intelligenza artificiale per un processo decisionale più intelligente e rapido.
Introduzione alla valutazione degli eventi imprevisti e alla ricerca delle minacce