다음을 통해 공유

Microsoft Sentinel MCP(미리 보기)

Microsoft Sentinel MCP 서버의 이 도구 컬렉션을 통해 플레이북은 포괄적인 보안 데이터에 대한 이유를 제공하여 강력하고 유연한 SOC 자동화를 가능하게 합니다.

이 커넥터는 다음 제품 및 지역에서 사용할 수 있습니다.

서비스 클래스 Regions
Copilot Studio Premium 다음을 제외한 모든 Power Automate 지역 :
     - 미국 정부(GCC)
     - 미국 정부(GCC High)
     - 21Vianet에서 운영하는 중국 클라우드
     - 미국 국방부(DoD)
논리 앱 스탠다드 다음을 제외한 모든 Logic Apps 지역 :
     - Azure Government 지역
     - Azure 중국 지역
     - 미국 국방부(DoD)
Power Apps Premium 다음을 제외한 모든 Power Apps 지역 :
     - 미국 정부(GCC)
     - 미국 정부(GCC High)
     - 21Vianet에서 운영하는 중국 클라우드
     - 미국 국방부(DoD)
Power Automate (파워 오토메이트) Premium 다음을 제외한 모든 Power Automate 지역 :
     - 미국 정부(GCC)
     - 미국 정부(GCC High)
     - 21Vianet에서 운영하는 중국 클라우드
     - 미국 국방부(DoD)
연락처
이름 Microsoft
URL https://support.microsoft.com
커넥터 메타데이터
게시자 Microsoft
웹 사이트 https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview
개인 정보 보호 정책 https://privacy.microsoft.com
카테고리 Security

필수 조건

Sentinel 작업 영역 ID

지원되는 작업

Entity Analyzer

조직의 최근 활동, 보급 및 관련 위협 인텔리전스를 기반으로 엔터티(예: URL, 사용자 등)에 대한 위험 평가를 생성합니다.

자격 증명 가져오기

자세한 사용 권한 설명은 다음 https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview을 참조하세요. 이 도구에는 보안 판독기 역할이 필요합니다. 지원되는 액세스 모드는 다음과 같습니다.

Entra Id

로그인한 사용자를 대신하여 작업을 실행합니다.

관리되는 식별

Logic Apps 관리 ID를 대신하여 작업을 실행합니다.

연결 만들기

커넥터는 다음 인증 유형을 지원합니다.
Logic Apps 관리 ID 관리 ID를 사용하여 연결 만들기 LOGICAPPS만 공유할 수 없음
Microsoft Entra ID 통합 Microsoft Entra ID를 사용하여 액세스 모든 지역 공유할 수 없음
서비스 주체 인증 서비스 주체 인증에 Microsoft Entra ID 애플리케이션 사용 모든 지역 공유할 수 없음
기본값 [사용되지 않음] 이 옵션은 명시적 인증 유형이 없는 이전 연결에만 해당되며 이전 버전과의 호환성을 위해서만 제공됩니다. 모든 지역 공유할 수 없음

Logic Apps 관리 ID

인증 ID: managedIdentityAuth

적용 가능: LOGICAPPS만 해당

관리 ID를 사용하여 연결 만들기

공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.

이름 유형 Description 필수
관리되는 식별 managedIdentity 관리 ID로 로그인 진실

Microsoft Entra ID 통합

인증 ID: tokenBasedAuth

적용 가능: 모든 지역

Microsoft Entra ID를 사용하여 액세스

공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.

서비스 주체 인증

인증 ID: servicePrincipalAuth

적용 가능: 모든 지역

서비스 주체 인증에 Microsoft Entra ID 애플리케이션 사용

공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.

이름 유형 Description 필수
클라이언트 ID 문자열 진실
클라이언트 암호 시큐어스트링 (보안 문자열) 진실
임차인 ID 문자열 진실

기본값 [사용되지 않음]

적용 가능: 모든 지역

이 옵션은 명시적 인증 유형이 없는 이전 연결에만 해당되며 이전 버전과의 호환성을 위해서만 제공됩니다.

공유 가능한 연결이 아닙니다. 전원 앱이 다른 사용자와 공유되면 다른 사용자에게 새 연결을 명시적으로 만들라는 메시지가 표시됩니다.

제한 한도

Name 호출 갱신 기간
연결당 API 호출 100 60초

동작

Entity Analyzer

조직의 최근 활동, 보급 및 관련 위협 인텔리전스를 기반으로 엔터티(예: URL, 사용자 등)에 대한 위험 평가를 생성합니다.
Microsoft Sentinel - 데이터 탐색 MCP 서버

MICROSOFT SENTinel MCP(모델 컨텍스트 프로토콜) 서버의 데이터 탐색 도구 컬렉션을 사용하면 자연어를 사용하여 관련 테이블을 검색하고 Microsoft Sentinel의 데이터 레이크에서 데이터를 검색할 수 있습니다. 더 알아보세요: https://aka.ms/mcp/data-exploration

Entity Analyzer

작업 ID:
analyzeentity

조직의 최근 활동, 보급 및 관련 위협 인텔리전스를 기반으로 엔터티(예: URL, 사용자 등)에 대한 위험 평가를 생성합니다.

매개 변수

Name 필수 형식 Description
작업 영역 ID
 workspaceId True uuid

작업 영역 ID
일 뒤를 돌아보기
 lookBackDays True integer

분석을 다시 살펴볼 일 수
속성
 properties True object

속성

반환

response
AnalyzeEntityResponse

Microsoft Sentinel - 데이터 탐색 MCP 서버

작업 ID:
invokemcpdataexploration

MICROSOFT SENTinel MCP(모델 컨텍스트 프로토콜) 서버의 데이터 탐색 도구 컬렉션을 사용하면 자연어를 사용하여 관련 테이블을 검색하고 Microsoft Sentinel의 데이터 레이크에서 데이터를 검색할 수 있습니다. 더 알아보세요: https://aka.ms/mcp/data-exploration

정의

AnalyzeEntityResponse

Name 경로 형식 Description
상태
 status string

분석의 상태입니다. URL의 예제 값은 "실행 중", "완료됨" 또는 "오류"입니다.
Classification
 classification string

엔터티의 평결입니다. URL의 예제 값은 "악성", "의심스러운" 또는 "알 수 없음"입니다.
분석
 analysis string

엔터티와 연결된 분석으로, 조직의 보급 및 활동을 기반으로 평결 및 추가 컨텍스트에 대한 근거를 제공합니다.
Recommendation
 recommendation string

평결을 감안할 때 엔터티에 대해 취할 권장되는 다음 단계입니다.
Disclaimer
 disclaimer string

엔터티 및 해당 분석 결과에 대한 중요한 정보입니다.
속성
 properties object

속성
데이터 원본 목록
 dataSourceList array of object

데이터 원본 목록
items
 dataSourceList object