Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Queste informazioni si riferiscono a un prodotto in versione preliminare che può essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.
La raccolta delle valutazioni nel server MCP (Model Context Protocol) di Microsoft Sentinel integra i modelli IA con API che supportano la valutazione e la ricerca degli eventi imprevisti. Questa integrazione consente di classificare in ordine di priorità gli eventi imprevisti rapidamente e di cercare facilmente i propri dati, riducendo il tempo medio per la risoluzione, l'esposizione ai rischi e il tempo di attesa.
Usare lo strumento per gli scenari seguenti:
- Valutazione degli eventi imprevisti: Classificare rapidamente gli eventi imprevisti usando i propri modelli di intelligenza artificiale, riducendo il tempo medio per la risoluzione. Usare gli strumenti per recuperare eventi imprevisti, avvisi, prove di avvisi, entità e altri dati.
- Ricerca: Ricerca facile dei dati utilizzando modelli IA personali, riducendo l'esposizione ai rischi e il tempo di permanenza. Usare gli strumenti per eseguire query di ricerca e recuperare i dati necessari durante la ricerca.
Prerequisiti
Per accedere alla raccolta di strumenti di valutazione, è necessario disporre dei prerequisiti seguenti:
- Microsoft Defender XDR, Microsoft Defender per endpoint o Microsoft Sentinel integrato nel portale di Defender
- Qualsiasi degli editor di codice alimentati da intelligenza artificiale supportati e piattaforme per la creazione di agenti.
Aggiungere la raccolta delle valutazioni
Per aggiungere la raccolta di esplorazione dei dati, è necessario innanzitutto configurare l'interfaccia server MCP unificata di Microsoft Sentinel. Seguire le istruzioni dettagliate per gli editor di codice basati su intelligenza artificiale compatibili e le piattaforme di compilazione degli agenti elencate nella sezione Prerequisiti .
La raccolta di triage è ospitata all'URL seguente:
https://sentinel.microsoft.com/mcp/triage
Strumenti nella raccolta delle valutazioni
Elencare gli eventi imprevisti di sicurezza (ListIncidents)
Questo strumento elenca gli eventi imprevisti di sicurezza e li filtra per intervallo di date, gravità, stato, analista assegnato e stato di indagine.
| Parametri | Obbligatorio? | Description |
|---|---|---|
createdAfter |
NO | Tempo dopo il quale è stato creato l'incidente |
createdBefore |
NO | Tempo trascorso prima della creazione dell'incidente |
Severity |
NO | Gravità assegnata all'evento imprevisto (ad esempio, Bassa o Alta) |
Status |
NO | Stato corrente dell'evento imprevisto (Nuovo, Attivo o Chiuso) |
AssignedTo |
NO | A quale utente viene assegnato l'evento imprevisto |
Classification |
NO | Classificazione (ad esempio, Vero positivo o falso positivo) |
Determination |
NO | Determinazione (ad esempio, malware o phishing) |
orderBy |
NO | Istruzioni per ordinare gli incidenti restituiti |
Search |
NO | Ricerca senza testo tra i dati degli eventi imprevisti |
includeAlertsData |
NO | Opzione per includere i dati degli avvisi sottostanti |
skip |
NO | Ignora un numero specificato di elementi dall'inizio del set di risultati |
top |
NO | Limita il numero di elementi restituiti nella risposta |
Ottenere un evento imprevisto di sicurezza (GetIncidentById)
Questo strumento recupera un evento imprevisto di sicurezza in base all'ID, incluse le relative proprietà, avvisi correlati e metadati, ad esempio stato, gravità, classificazione e timestamp.
| Parametri | Obbligatorio? | Description |
|---|---|---|
incidentID |
Yes | L'identificatore è associato all'evento imprevisto |
includeAlertsData |
NO | Opzione per includere i dati degli avvisi sottostanti |
Elencare gli avvisi di sicurezza correlati a un evento imprevisto (ListAlerts)
Questo strumento elenca gli avvisi di sicurezza, li ordina e li filtra in base all'intervallo di date, alla gravità e allo stato.
| Parametri | Obbligatorio? | Description |
|---|---|---|
createdAfter |
NO | Intervallo di tempo successivo alla creazione dell'avviso |
createdBefore |
NO | Ora prima della creazione dell'avviso |
Severity |
NO | Gravità assegnata all'avviso (ad esempio, Bassa o Alta) |
status |
NO | Stato corrente dell'avviso; valori possibili: Unknown, New, InProgress e Resolved |
skip |
NO | Ignora un numero specificato di elementi dall'inizio del set di risultati |
top |
NO | Limita il numero di elementi restituiti nella risposta |
Ottenere un avviso di sicurezza (GetAlertByID)
Questo strumento recupera un avviso di sicurezza in base all'ID. Restituisce i dettagli completi dell'avviso, tra cui gravità, stato, classificazione ed entità di evidenza correlate.
| Parametri | Obbligatorio? | Description |
|---|---|---|
AlertID |
Yes | Identificatore univoco dell'avviso |
Elenca le tabelle di ricerca avanzata (FetchAdvancedHuntingTablesOverview)
Questo strumento elenca i nomi delle tabelle di ricerca avanzate disponibili e le relative brevi descrizioni. È essenziale per comprendere le origini dati prima di scrivere query KQL (Kusto Query Language).
| Parametri | Obbligatorio? | Description |
|---|---|---|
tableNames |
NO | Nomi delle tabelle per la ricerca avanzata |
Ottenere lo schema della tabella di ricerca avanzata (FetchAdvancedHuntingTablesDetailedSchema)
Questo strumento recupera schemi completi delle colonne con descrizioni per tabelle specifiche di ricerca avanzata. Le informazioni fornite sono fondamentali per la creazione di query KQL senza errori. Usare questo strumento prima di chiamare RunAdvancedHuntingQuery.
| Parametri | Obbligatorio? | Description |
|---|---|---|
tableNames |
Yes | Nomi delle tabelle per la ricerca avanzata |
Eseguire una query di ricerca (RunAdvancedHuntingQuery)
Eseguire una query di ricerca avanzata usando KQL nelle tabelle di Microsoft Defender supportate per cercare in modo proattivo le minacce. Per comprendere le origini dati, eseguire prima di tutto FetchAdvancedHuntingTablesOverview. Per ottenere un KQL senza errori, esegui per prima cosa FetchAdvancedHuntingTablesDetailedSchema.
| Parametri | Obbligatorio? | Description |
|---|---|---|
kqlQuery |
Yes | Query KQL da eseguire sulla tabella selezionata |
timestamp |
NO | Timestamp da scegliere per la query |
Ottenere informazioni sui file (GetDefenderFileInfo)
Ottenere i dettagli del file, ad esempio hash, dimensioni, tipo, editore, informazioni sul certificato del firmatario e prevalenza globale con timestamp prima e ultima visualizzazione.
| Parametri | Obbligatorio? | Description |
|---|---|---|
fileHash |
Yes | Hash SHA-1, SHA-256 o MD5 del file |
Ottenere le statistiche dei file (GetDefenderFileStatistics)
Ottenere statistiche sulla prevalenza dei file dell'organizzazione, incluso il numero di dispositivi in cui è stato osservato il file.
| Parametri | Obbligatorio? | Description |
|---|---|---|
fileHash |
Yes | Hash SHA-1, SHA-256 o MD5 del file |
Ottieni avvisi sui file (GetDefenderFileAlerts)
Elencare tutti gli avvisi di sicurezza generati da un file specifico nell'organizzazione, inclusi gli avvisi cronologici e attivi.
| Parametri | Obbligatorio? | Description |
|---|---|---|
fileHash |
Yes | Hash SHA-1, SHA-256 o MD5 del file |
Ottieni dispositivi associati ai file (GetDefenderFileRelatedMachines)
Elencare tutti i dispositivi che hanno rilevato un file specifico per valutarne la distribuzione nell'ambiente.
| Parametri | Obbligatorio? | Description |
|---|---|---|
fileHash |
Yes | Hash SHA-1, SHA-256 o MD5 del file |
Elencare gli indicatori di minaccia (ListDefenderIndicators)
Elencare gli indicatori di compromissione del tenant (IOC) in Microsoft Defender per Endpoint. Usare filtri per tipo, valore, azione e gravità.
| Parametri | Obbligatorio? | Description |
|---|---|---|
indicatorType |
NO | Tipo di indicatore (ad esempio, hash del file, nome di dominio o indirizzo IP) |
indicatorValue |
NO | Valore specifico dell'indicatore per filtrare i risultati |
Action |
NO | Azione applicata all'indicatore (avviso, blocco o consenti) |
ApplicationName |
NO | Applicazione associata all'indicatore |
Title |
NO | Titolo o descrizione dell'indicatore |
Severity |
NO | Livello di gravità (informativo, basso, medio o alto) |
createdAfter |
NO | Restituire gli indicatori creati dopo questo timestamp |
createdBefore |
NO | Restituire gli indicatori creati prima di questo timestamp |
Elencare le indagini automatizzate (ListDefenderInvestigations)
Elencare i casi di indagine automatizzati in Defender per endpoint. Usare i filtri per lo stato, il dispositivo di destinazione, l'ora di inizio o l'ID dell'allerta di attivazione.
| Parametri | Obbligatorio? | Description |
|---|---|---|
startTime |
NO | Restituire le indagini avviate dopo questo timestamp. |
endTime |
NO | Restituire le indagini avviate prima di questo timestamp |
Status |
NO | Stato dell'indagine (in esecuzione, completato o non riuscito) |
skip |
NO | Ignora un numero specificato di elementi dall'inizio del set di risultati |
top |
NO | Limita il numero di elementi restituiti nella risposta |
Ottenere un'indagine automatizzata (GetDefenderInvestigation)
Ottenere i dettagli di un'indagine automatizzata specifica, inclusi lo stato, i timestamp, il dispositivo di destinazione e l'attivazione di un avviso.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco dell'indagine |
Ottenere tutti gli avvisi di sicurezza per un indirizzo IP (GetDefenderIpAlerts)
Elencare tutti gli avvisi di sicurezza nell'organizzazione correlati a un indirizzo IP specificato.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ipAddress |
Yes | Indirizzo IP per il recupero degli avvisi correlati per |
Ottenere statistiche per un indirizzo IP (GetDefenderIpStatistics)
Ottenere statistiche per un determinato indirizzo IP, incluso il numero di dispositivi distinti che hanno comunicato con esso.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ipAddress |
Yes | Indirizzo IP da cui recuperare le statistiche |
Ottenere un dispositivo endpoint (GetDefenderMachine)
Ottenere informazioni dettagliate su un dispositivo specifico di Defender per endpoint, inclusi i dettagli del sistema operativo, lo stato di integrità, il punteggio di rischio e il livello di esposizione.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco del dispositivo |
Ottenere avvisi di sicurezza correlati a un dispositivo (GetDefenderMachineAlerts)
Elencare tutti gli avvisi di sicurezza associati a un dispositivo specifico per una visualizzazione incentrata sui dispositivi delle minacce.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco del dispositivo |
Ottieni gli utenti che hanno eseguito l'accesso a un dispositivo (GetDefenderMachineLoggedOnUsers)
Elenca gli account che hanno eseguito l'accesso a un dispositivo. Per ogni utente, l'API fornisce il contesto, ad esempio il nome utente e il dominio dell'account.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco del dispositivo |
Ottieni le vulnerabilità del dispositivo (GetDefenderMachineVulnerabilities)
Elencare le vulnerabilità di sicurezza individuate in un dispositivo con dettagli e punteggi di valutazione dei rischi e delle vulnerabilità comuni (CVE).
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco del dispositivo |
Trovare il dispositivo in base all'indirizzo IP interno (FindDefenderMachineByIp)
Elencare tutti i dispositivi che hanno comunicato con un indirizzo IP interno specifico nell'intervallo di tempo di 15 minuti prima e dopo il timestamp specificato, per il mapping di rete e l'analisi dello spostamento laterale.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ipAddress |
Yes | Indirizzo IP interno da cercare |
timestamp |
Yes | Il timestamp che definisce la finestra della query, controllando 15 minuti prima e 15 minuti dopo l'orario indicato |
Elencare le attività di correzione (ListDefenderRemediationActivities)
Elencare le attività di correzione e il relativo stato di esecuzione tra i dispositivi. Ogni attività di correzione corrisponde a una raccomandazione o a un'attività di sicurezza.
| Parametri | Obbligatorio? | Description |
|---|---|---|
Type |
NO | Tipo di attività di correzione |
machineID |
NO | Identificatore del dispositivo interessato |
Status |
NO | Stato dell'attività di correzione (in sospeso o completato) |
createdTimeFrom |
NO | Restituire le attività create dopo quest'ora di riferimento |
createdTimeTo |
NO | Restituire le attività create prima di questo timestamp |
skip |
NO | Ignora un numero specificato di elementi dall'inizio del set di risultati |
top |
NO | Limita il numero di elementi restituiti nella risposta |
Ottenere informazioni dettagliate sulle attività di correzione (GetDefenderRemediationActivity)
Ottenere informazioni dettagliate sulle attività di correzione, inclusi lo stato di esecuzione, i risultati e i dispositivi interessati.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco dell'attività di correzione |
Elencare gli avvisi di sicurezza correlati a un account utente (ListUserRelatedAlerts)
Elencare tutti gli avvisi di sicurezza associati a un account utente specifico. Queste informazioni sono essenziali per le indagini sulle minacce incentrate sull'utente e l'analisi del comportamento.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco dell'account utente |
Elencare tutti i dispositivi attivi per un utente (ListUserRelatedMachines)
Elencare tutti i dispositivi in cui un utente specifico ha sessioni di accesso attive o recenti. Usare questo strumento per tenere traccia dell'attività dell'utente e analizzare lo spostamento laterale.
| Parametri | Obbligatorio? | Description |
|---|---|---|
ID |
Yes | Identificatore univoco dell'account utente |
Elencare tutti i dispositivi interessati da una vulnerabilità (ListDefenderMachinesByVulnerability)
Elencare tutti i dispositivi interessati da una vulnerabilità CVE specifica. Questo strumento è fondamentale per la definizione delle priorità di gestione delle patch.
| Parametri | Obbligatorio? | Description |
|---|---|---|
cveID |
Yes | CVE identificatore della vulnerabilità |
Elencare le vulnerabilità che interessano il software (ListDefenderVulnerabilitiesBySoftware)
Elencare le vulnerabilità che influiscono su software specifico in un dispositivo specifico per la valutazione della vulnerabilità mirata.
| Parametri | Obbligatorio? | Description |
|---|---|---|
machineID |
Yes | Identificatore univoco del dispositivo |
softwareID |
Yes | Identificatore univoco del software |
Richieste di esempio
I seguenti prompt di esempio illustrano le azioni che è possibile eseguire con la raccolta delle valutazioni:
- Elencare gli ultimi cinque eventi imprevisti dal mio tenant e valutare quale di questi richiede una valutazione urgente
- Fornire gli avvisi per <un incidente specifico> e analizzare l'evidenza degli avvisi per verificare la presenza di attività dannose
- Eseguire una query di ricerca per verificare quali utenti hanno interagito con l'entità <>
Limitazioni
- Non è possibile usare questa raccolta come ospite in un altro tenant o con accesso delegato. È possibile usare il server MCP solo nel tenant principale.
- Gli utenti di Microsoft Sentinel non possono scegliere l'area di lavoro da usare.
- Non è possibile eseguire query sui dati in Microsoft Sentinel Lake. È invece possibile usare gli strumenti di esplorazione dei dati .