Microsoft Sentinel MCP (wersja zapoznawcza)
Ta kolekcja narzędzi z serwera MCP usługi Microsoft Sentinel umożliwia podręcznikom wnioskowanie o kompleksowych danych zabezpieczeń, co umożliwia zaawansowaną i elastyczną automatyzację SOC.
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps z wyjątkiem następujących: — Regiony platformy Azure Government — Regiony platformy Azure (Chiny) - Departament Obrony USA (DoD) |
| Power Apps | Premium | Wszystkie regiony usługi Power Apps z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Power Automate - narzędzie do automatyzacji procesów | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Kontakt | |
|---|---|
| Name | Microsoft |
| adres URL | https://support.microsoft.com |
| Metadane łącznika | |
|---|---|
| Publisher | Microsoft |
| Witryna internetowa | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| Zasady ochrony prywatności | https://privacy.microsoft.com |
| Kategorie | Zabezpieczenia |
Wymagania wstępne
Identyfikator obszaru roboczego usługi Sentinel
Obsługiwane operacje
Analizator jednostek
Wygeneruj ocenę ryzyka dla jednostek (np. adres URL, użytkownik itp.) na podstawie ostatnich działań organizacji, częstości występowania i skojarzonej analizy zagrożeń.
Uzyskiwanie poświadczeń
Aby uzyskać szczegółowe wyjaśnienie uprawnień, zobacz: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview. To narzędzie wymaga roli Czytelnik zabezpieczeń. Obsługiwane są następujące tryby dostępu:
Identyfikator entra
Wykonywanie operacji w imieniu zalogowanego użytkownika.
Zarządzana Tożsamość
Wykonywanie operacji w imieniu tożsamości zarządzanej usługi Logic Apps.
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Tożsamość zarządzana usługi Logic Apps | Tworzenie połączenia przy użyciu tożsamości zarządzanej | Tylko USŁUGA LOGICAPPS | Nie można udostępniać |
| Microsoft Entra ID Integrated | Uzyskiwanie dostępu za pomocą identyfikatora Entra firmy Microsoft | Wszystkie regiony | Nie można udostępniać |
| Uwierzytelnianie usługowego konta głównego | Używanie aplikacji Microsoft Entra ID na potrzeby uwierzytelniania jednostki usługi | Wszystkie regiony | Nie można udostępniać |
| Domyślne [PRZESTARZAŁE] | Ta opcja dotyczy tylko starszych połączeń bez jawnego typu uwierzytelniania i jest dostępna tylko w celu zapewnienia zgodności z poprzednimi wersjami. | Wszystkie regiony | Nie można udostępniać |
Tożsamość zarządzana usługi Logic Apps
Identyfikator uwierzytelniania: managedIdentityAuth
Dotyczy: tylko USŁUGA LOGICAPPS
Tworzenie połączenia przy użyciu tożsamości zarządzanej
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Zarządzana Tożsamość | managedIdentity | Logowanie przy użyciu tożsamości zarządzanej | Prawda |
Microsoft Entra ID Zintegrowany
Identyfikator uwierzytelniania: tokenBasedAuth
Dotyczy: wszystkie regiony
Uzyskiwanie dostępu za pomocą identyfikatora Entra firmy Microsoft
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
Uwierzytelnianie głównego elementu usługi
Identyfikator uwierzytelniania: servicePrincipalAuth
Dotyczy: wszystkie regiony
Używanie aplikacji Microsoft Entra ID na potrzeby uwierzytelniania jednostki usługi
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| ID klienta | ciąg | Prawda | |
| Tajemnica klienta | securestring | Prawda | |
| Identyfikator dzierżawy | ciąg | Prawda |
Domyślne [PRZESTARZAŁE]
Dotyczy: wszystkie regiony
Ta opcja dotyczy tylko starszych połączeń bez jawnego typu uwierzytelniania i jest dostępna tylko w celu zapewnienia zgodności z poprzednimi wersjami.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
Limity ograniczania przepustowości
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 100 | 60 sekund |
Akcje
| Analizator jednostek |
Wygeneruj ocenę ryzyka dla jednostek (np. adres URL, użytkownik itp.) na podstawie ostatnich działań organizacji, częstości występowania i skojarzonej analizy zagrożeń. |
| Microsoft Sentinel — serwer MCP eksploracji danych |
Kolekcja narzędzi do eksploracji danych na serwerze MICROSOFT Sentinel Model Context Protocol (MCP) umożliwia wyszukiwanie odpowiednich tabel i pobieranie danych z magazynu data lake usługi Microsoft Sentinel przy użyciu języka naturalnego. Dowiedz się więcej: https://aka.ms/mcp/data-exploration |
Analizator jednostek
Wygeneruj ocenę ryzyka dla jednostek (np. adres URL, użytkownik itp.) na podstawie ostatnich działań organizacji, częstości występowania i skojarzonej analizy zagrożeń.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator obszaru roboczego
|
workspaceId | True | uuid |
Identyfikator obszaru roboczego |
|
Spójrz wstecz dni
|
lookBackDays | True | integer |
Liczba dni do wyszukania analizy |
|
Właściwości
|
properties | True | object |
Właściwości |
Zwraca
- response
- AnalyzeEntityResponse
Microsoft Sentinel — serwer MCP eksploracji danych
Kolekcja narzędzi do eksploracji danych na serwerze MICROSOFT Sentinel Model Context Protocol (MCP) umożliwia wyszukiwanie odpowiednich tabel i pobieranie danych z magazynu data lake usługi Microsoft Sentinel przy użyciu języka naturalnego. Dowiedz się więcej: https://aka.ms/mcp/data-exploration
Definicje
AnalyzeEntityResponse
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Status
|
status | string |
Stan analizy. Przykładowe wartości adresów URL to "Running", "Completed" lub "Faulted". |
|
Classification
|
classification | string |
Werdykt jednostki. Przykładowe wartości adresów URL to "Złośliwe", "Podejrzane" lub "Nieznane". |
|
Analysis
|
analysis | string |
Analiza skojarzona z jednostką, zapewniając uzasadnienie werdyktu i dodatkowy kontekst na podstawie częstości występowania i aktywności w organizacji. |
|
Rekomendacja
|
recommendation | string |
Zalecane następne kroki, które należy wykonać w jednostce, biorąc pod uwagę werdykt. |
|
Disclaimer
|
disclaimer | string |
Ważne uwagi dotyczące jednostki i jej wyników analizy. |
|
Właściwości
|
properties | object |
Właściwości |
|
Lista źródeł danych
|
dataSourceList | array of object |
Lista źródeł danych |
|
items
|
dataSourceList | object |