Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Algumas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
A coleção de ferramentas de exploração de dados no servidor mcP (Model Context Protocol) do Microsoft Sentinel permite-lhe procurar tabelas relevantes e obter dados do data lake do Microsoft Sentinel com linguagem natural. Também inclui ferramentas de grafos que lhe permitem raciocinar sobre vários gráficos de Microsoft Sentinel, incluindo gráficos de exposição, investigação e risco de dados.
Pré-requisitos
Para aceder à coleção de ferramentas de exploração de dados, precisa dos seguintes pré-requisitos:
- Microsoft Sentinel data lake e gráfico
- Microsoft Sentinel data lake integrado no portal do Defender (necessário para ferramentas de gráficos)
- Qualquer um dos editores de código suportados com tecnologia de IA e plataformas de criação de agentes:
Importante
O acesso a Sentinel ferramentas MCP é suportado para utilizadores, identidades geridas ou principais de serviço atribuídos com, pelo menos, qualquer uma das seguintes funções:
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
Para aceder aos dados de gráficos no portal do Defender, é necessário, pelo menos, acesso só de leitura no Gerenciamento de Exposição da Segurança da Microsoft.
Adicionar a coleção de exploração de dados
Para adicionar a recolha de exploração de dados, configure primeiro a interface de servidor MCP unificada do Microsoft Sentinel. Siga as instruções passo a passo para editores de código compatíveis com tecnologia de IA e plataformas de criação de agentes.
A recolha de exploração de dados está alojada no seguinte URL:
https://sentinel.microsoft.com/mcp/data-exploration
Ferramentas na coleção de exploração de dados
A coleção de exploração de dados inclui as seguintes ferramentas:
- Pesquisa semântica no catálogo de tabelas — Descubra as tabelas do data lake relevantes e os respetivos esquemas.
- Executar consulta KQL – execute consultas KQL numa área de trabalho do data lake Microsoft Sentinel.
- Listar áreas de trabalho — Listar todas as áreas de trabalho disponíveis Microsoft Sentinel data lake.
- Analisador de entidades – analise utilizadores e URLs com veredictos e informações de risco orientados por IA.
- Ferramentas de grafos (pré-visualização) – motivo da exposição, investigação e gráficos de risco de dados.
Pesquisa semântica no catálogo de tabelas (search_tables)
Esta ferramenta deteta tabelas de data lake relevantes para uma determinada entrada de linguagem natural e devolve definições de esquema para suportar a criação de consultas. Utilize esta ferramenta para detetar tabelas, compreender um esquema ou criar consultas de Linguagem de Consulta Kusto (KQL) válidas para uma área de trabalho Microsoft Sentinel. Também pode utilizá-la para explorar origens de dados desconhecidas ou identificar tabelas relevantes para uma tarefa de investigação ou análise específica.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
query |
Sim | Este parâmetro utiliza palavras-chave para procurar tabelas relevantes nas áreas de trabalho ligadas. |
workspaceId |
Não | Este parâmetro utiliza um identificador de área de trabalho para limitar a pesquisa a uma única área de trabalho do data lake ligada Microsoft Sentinel. |
Tabelas suportadas
Esta ferramenta suporta quase todas as tabelas padrão e de hub de conteúdos de parceiros conhecidas fora da caixa, incluindo Azure monitorizar tabelas do Log Analytics organizadas por categoria e a maioria das tabelas Microsoft Sentinel e conectores associados.
Expandir para ver a lista completa de tabelas de terceiros suportadas
| Provedor | Tabelas suportadas |
|---|---|
| Segurança Anormal |
ABNORMAL_CASES_CL, ABNORMAL_THREAT_MESSAGES_CL |
| ADO (Azure DevOps) | ADOAuditLogs_CL |
| AIShield | AIShield_CL |
| AliCloud | AliCloud_CL |
| Amazon Web Services (AWS) |
AWSCloudFront_AccessLog_CL, AWSCloudTrail, AWSCloudWatch, AWSGuardDuty, AWSNetworkFirewallAlert, AWSNetworkFirewallFlow, AWSNetworkFirewallTls, AWSRoute53Resolver, AWSS3ServerAccess, AWSSecurityHubFindings, AWSVPCFlow, AWSWAF |
| Anvilogic | Anvilogic_Alerts_CL |
| Apache | ApacheHTTPServer_CL |
| ARGOS | ARGOS_CL |
| Armis |
Armis_Activities_CL, Armis_Alerts_CL, Armis_Devices_CL |
| Atlassian | atlassian_beacon_alerts_CL |
| Autenticação0 | Auth0AM_CL |
| Better Mobile |
BetterMTDAppLog_CL, BetterMTDDeviceLog_CL, BetterMTDIncidentLog_CL, BetterMTDNetflowLog_CL |
| Bitglass | BitglassLogs_CL |
| BitSight |
BitsightAlerts_data_CL, BitsightBreaches_data_CL, BitsightCompany_details_CL, BitsightCompany_rating_details_CL, BitsightDiligence_historical_statistics_CL, BitsightDiligence_statistics_CL, BitsightFindings_data_CL, BitsightFindings_summary_CL, BitsightGraph_data_CL, BitsightIndustrial_statistics_CL, BitsightObservation_statistics_CL |
| Caixa |
BoxEvents_CL, BoxEventsV2_CL |
| Carbono Preto |
CarbonBlackAuditLogs_CL, CarbonBlackEvents_CL, CarbonBlackNotifications_CL |
| CBS | CBSLog_Azure_1_CL |
| Cisco |
Cisco_Umbrella_audit_CL, Cisco_Umbrella_cloudfirewall_CL, Cisco_Umbrella_dlp_CL, Cisco_Umbrella_dns_CL, Cisco_Umbrella_fileevent_CL, Cisco_Umbrella_firewall_CL, Cisco_Umbrella_intrusion_CL, Cisco_Umbrella_ip_CL, Cisco_Umbrella_ravpnlogs_CL, Cisco_Umbrella_ztaflow_CL, Cisco_Umbrella_ztna_CL, CiscoETD_CL, CiscoSDWANNetflow_CL, CiscoSecureEndpointAuditLogsV2_CL, CiscoSecureEndpointEventsV2_CL |
| Cloudflare |
Cloudflare_CL, CloudflareV2_CL |
| Cognni | CognniIncidents_CL |
| Coesão | Cohesity_CL |
| Commvault | CommvaultSecurityIQ_CL |
| Segurança de Contraste |
ContrastADR_CL, ContrastADRIncident_CL |
| Cribl | CriblInternal_CL |
| CrowdStrike |
CrowdStrike_Additional_Events_CL, CrowdStrikeAlerts, CrowdStrikeDetections, CrowdStrikeHosts, CrowdStrikeIncidents, CrowdStrikeVulnerabilities |
| CyberArk | CyberArk_AuditEvents_CL |
| Cyberpion | CyberpionActionItems_CL |
| Cyfirma |
CyfirmaASCertificatesAlerts_CL, CyfirmaASCloudWeaknessAlerts_CL, CyfirmaASConfigurationAlerts_CL, CyfirmaASDomainIPReputationAlerts_CL, CyfirmaASDomainIPVulnerabilityAlerts_CL, CyfirmaASOpenPortsAlerts_CL, CyfirmaBIDomainITAssetAlerts_CL, CyfirmaBIExecutivePeopleAlerts_CL, CyfirmaBIMaliciousMobileAppsAlerts_CL, CyfirmaBIProductSolutionAlerts_CL, CyfirmaBISocialHandlersAlerts_CL, CyfirmaCampaigns_CL, CyfirmaCompromisedAccounts_CL, CyfirmaDBWMDarkWebAlerts_CL, CyfirmaDBWMPhishingAlerts_CL, CyfirmaDBWMRansomwareAlerts_CL, CyfirmaIndicators_CL, CyfirmaMalware_CL, CyfirmaSPEConfidentialFilesAlerts_CL, CyfirmaSPEPIIAndCIIAlerts_CL, CyfirmaSPESocialThreatAlerts_CL, CyfirmaSPESourceCodeAlerts_CL, CyfirmaThreatActors_CL, CyfirmaVulnerabilities_CL |
| Escoteiro Cymru |
Cymru_Scout_Account_Usage_Data_CL, Cymru_Scout_Domain_Data_CL, Cymru_Scout_IP_Data_Communications_CL, Cymru_Scout_IP_Data_Details_CL, Cymru_Scout_IP_Data_Fingerprints_CL, Cymru_Scout_IP_Data_Foundation_CL, Cymru_Scout_IP_Data_OpenPorts_CL, Cymru_Scout_IP_Data_PDNS_CL, Cymru_Scout_IP_Data_Summary_Certs_CL, Cymru_Scout_IP_Data_Summary_Details_CL, Cymru_Scout_IP_Data_Summary_Fingerprints_CL, Cymru_Scout_IP_Data_Summary_OpenPorts_CL, Cymru_Scout_IP_Data_Summary_PDNS_CL, Cymru_Scout_IP_Data_x509_CL |
| Cynerio | CynerioEvent_CL |
| Darktrace | darktrace_model_alerts_CL |
| Databricks |
DatabricksAccounts, DatabricksApps, DatabricksBrickStoreHttpGateway, DatabricksBudgetPolicyCentral, DatabricksCapsule8Dataplane, DatabricksClamAVScan, DatabricksCloudStorageMetadata, DatabricksClusterLibraries, DatabricksClusterPolicies, DatabricksClusters, DatabricksDashboards, DatabricksDatabricksSQL, DatabricksDataMonitoring, DatabricksDataRooms, DatabricksDBFS, DatabricksDeltaPipelines, DatabricksFeatureStore, DatabricksFiles, DatabricksFilesystem, DatabricksGenie, DatabricksGitCredentials, DatabricksGlobalInitScripts, DatabricksGroups, DatabricksIAMRole, DatabricksIngestion, DatabricksInstancePools, DatabricksJobs, DatabricksLakeviewConfig, DatabricksLineageTracking, DatabricksMarketplaceConsumer, DatabricksMarketplaceProvider, DatabricksMLflowAcledArtifact, DatabricksMLflowExperiment, DatabricksModelRegistry, DatabricksNotebook, DatabricksOnlineTables, DatabricksPartnerHub, DatabricksPredictiveOptimization, DatabricksRBAC, DatabricksRemoteHistoryService, DatabricksRepos, DatabricksRFA, DatabricksSecrets, DatabricksServerlessRealTimeInference, DatabricksSQL, DatabricksSQLPermissions, DatabricksSSH, DatabricksTables, DatabricksUnityCatalog, DatabricksVectorSearch, DatabricksWebhookNotifications, DatabricksWebTerminal, DatabricksWorkspace, DatabricksWorkspaceFiles |
| Dataminr | DataminrPulse_Alerts_CL |
| Sombras Digitais | DigitalShadows_CL |
| Doppel | DoppelTable_CL |
| Dragos | DragosAlerts_CL |
| ESI (Informações de Segurança do Exchange) |
ESIExchangeConfig_CL, ESIExchangeOnlineConfig_CL |
| Exchange |
ExchangeHttpProxy_CL, MessageTrackingLog_CL |
| ExtraHop | ExtraHop_Detections_CL |
| F5 |
F5Telemetry_ASM_CL, F5Telemetry_LTM_CL, F5Telemetry_system_CL |
| Feedly | feedly_indicators_CL |
| Forescout |
FncEventsDetections_CL, FncEventsObservation_CL, FncEventsSuricata_CL, ForescoutHostProperties_CL |
| Forcepoint | ForcepointDLPEvents_CL |
| Gigamon | Gigamon_CL |
| GitHub | githubscanaudit_CL |
GCPApigee, GCPAuditLogs, GCPCDN, GCPCloudRun, GCPCloudSQL, GCPComputeEngine, GCPDNS, GCPFirewallLogs, GCPIAM, GCPIDS, GCPLoadBalancer, GCPMonitoring, GCPNAT, GCPNATAudit, GCPResourceManager, GCPVPCFlow, GKEAPIServer, GKEApplication, GKEAudit, GKEControllerManager, GKEHPADecision, GKEScheduler, GoogleCloudSCC, GoogleWorkspaceReports |
|
| HackerView | HackerViewLog_Azure_1_CL |
| Illumio |
Illumio_Auditable_Events_CL, IlumioInsights |
| Imperva | ImpervaWAFCloud_CL |
| Infoblox |
dossier_atp_CL, dossier_atp_threat_CL, dossier_dns_CL, dossier_geo_CL, dossier_infoblox_web_cat_CL, dossier_inforank_CL, dossier_malware_analysis_v3_CL, dossier_nameserver_CL, dossier_nameserver_matches_CL, dossier_ptr_CL, dossier_rpz_feeds_CL, dossier_rpz_feeds_records_CL, dossier_threat_actor_CL, dossier_tld_risk_CL, dossier_whois_CL, Infoblox_Failed_Indicators_CL, InfobloxInsight_CL |
| InfoSec | InfoSecAnalytics_CL |
| Jamf Protect |
jamfprotectalerts_CL, jamfprotecttelemetryv2_CL, jamfprotectunifiedlogs_CL |
| Jira |
Jira_Audit_CL, Jira_Audit_v2_CL |
| Junípero | JuniperIDP_CL |
| Segurança do Guardião | KeeperSecurityEventNewLogs_CL |
| LastPass | LastPassNativePoller_CL |
| MailGuard 365 | MailGuard365_Threats_CL |
| MailRisk | MailRiskEmails_CL |
| MarkLogic | MarkLogicAudit_CL |
| MDBA | MDBALogTable_CL |
| Meraki | meraki_CL |
| Mimecast |
MimecastAudit_CL, MimecastDLP_CL, MimecastSIEM_CL, MimecastTTPAttachment_CL, MimecastTTPImpersonation_CL, MimecastTTPUrl_CL |
| Mongodb | MongoDBAudit_CL |
| MuleSoft | MuleSoft_Cloudhub_CL |
| NcProtect | NCProtectUAL_CL |
| Netskope |
alertscompromisedcredentialdata_CL, alertsctepdata_CL, alertsdlpdata_CL, alertsmalsitedata_CL, alertsmalwaredata_CL, alertspolicydata_CL, alertsquarantinedata_CL, alertsremediationdata_CL, alertssecurityassessmentdata_CL, alertsubadata_CL, Audits_Data_CL, Detections_Data_CL, Entities_Data_CL, Entity_Scoring_Data_CL, eventsapplicationdata_CL, eventsauditdata_CL, eventsconnectiondata_CL, eventsincidentdata_CL, eventsnetworkdata_CL, eventspagedata_CL, Lockdown_Data_CL, net_assets_CL, Netskope_WebTx_metrics_CL, NetskopeAlerts_CL, NetskopeWebtxData_CL, NetskopeWebtxErrors_CL, web_assets_CL |
| Nginx |
NGINX_CL, NginxUpstreamUpdateLogs |
| NordPass | NordPassEventLogs_CL |
| OCI (Oracle Cloud Infrastructure) | OCI_LogsV2_CL |
| Okta |
Okta_CL, OktaSystemLogs |
| 1Password | OnePasswordEventLogs_CL |
| OneLogin |
OneLoginEventsV2_CL, OneLoginUsersV2_CL |
| Oracle | OracleCloudDatabase |
| Orca | OrcaAlerts_CL |
| Palo Alto Networks |
CortexXDR_Incidents_CL, PaloAltoCortexXDR_Incidents_CL, PaloAltoPrismaCloudAlertV2_CL |
| Perímetro 81 | Perimeter81_CL |
| PostgreSQL | PostgreSQL_CL |
| Prancer | prancer_CL |
| Ponto de verificação linguística |
ProofPointTAPClicksPermittedV2_CL, ProofPointTAPMessagesDeliveredV2_CL |
| Qualys |
QualysHostDetectionV3_CL, QualysKB_CL |
| Rapid7 Nexpose/InsightVM |
NexposeInsightVMCloud_assets_CL, NexposeInsightVMCloud_vulnerabilities_CL |
| Rubrik |
Rubrik_Anomaly_Data_CL, Rubrik_Events_Data_CL, Rubrik_Ransomware_Data_CL, Rubrik_ThreatHunt_Data_CL |
| SailPoint |
SailPointIDN_Events_CL, SailPointIDN_Triggers_CL |
| Salesforce | SalesforceServiceCloudV2_CL |
| SAP |
SAPBTPAuditLog_CL, SAPETDAlerts_CL, SAPETDInvestigations_CL |
| SecurityBridge | SecurityBridgeLogs_CL |
| SentinelOne |
SentinelOne_CL, SentinelOneActivities_CL, SentinelOneAgents_CL, SentinelOneAlerts_CL, SentinelOneGroups_CL, SentinelOneThreats_CL |
| Snowflake |
SnowflakeLoad_CL, SnowflakeLogin_CL, SnowflakeMaterializedView_CL, SnowflakeQuery_CL, SnowflakeRoleGrant_CL, SnowflakeRoles_CL, SnowflakeTables_CL, SnowflakeTableStorageMetrics_CL, SnowflakeUserGrant_CL, SnowflakeUsers_CL |
| Sonrai | Sonrai_Tickets_CL |
| Sophos |
SophosCloudOptix_CL, SophosEP_CL, SophosEPEvents_CL |
| Proxy de Lulas | SquidProxy_CL |
| Symantec | SymantecICDx_CL |
| Talão | Talon_CL |
| Tenable |
Tenable_VM_Asset_CL, Tenable_VM_Compliance_CL, Tenable_VM_Vuln_CL, Tenable_WAS_Vuln_CL |
| TheHive | TheHive_CL |
| Teom | TheomAlerts_CL |
| Tomcat | Tomcat_CL |
| Trend Micro |
TrendMicro_XDR_OAT_CL, TrendMicro_XDR_RCA_Result_CL, TrendMicro_XDR_RCA_Task_CL, TrendMicro_XDR_WORKBENCH_CL |
| Varonis | VaronisAlerts_CL |
| Vectra | VectraStream_CL |
| Veeam |
VeeamAuthorizationEvents_CL, VeeamCovewareFindings_CL, VeeamMalwareEvents_CL, VeeamOneTriggeredAlarms_CL, VeeamSecurityComplianceAnalyzer_CL, VeeamSessions_CL |
| WatchGuard | WsSecurityEvents_CL |
| Área de trabalho da Meta | Workplace_Facebook_CL |
| ZeroFox |
ZeroFox_CTI_advanced_dark_web_CL, ZeroFox_CTI_botnet_CL, ZeroFox_CTI_breaches_CL, ZeroFox_CTI_C2_CL, ZeroFox_CTI_compromised_credentials_CL, ZeroFox_CTI_credit_cards_CL, ZeroFox_CTI_dark_web_CL, ZeroFox_CTI_discord_CL, ZeroFox_CTI_disruption_CL, ZeroFox_CTI_email_addresses_CL, ZeroFox_CTI_exploits_CL, ZeroFox_CTI_irc_CL, ZeroFox_CTI_malware_CL, ZeroFox_CTI_national_ids_CL, ZeroFox_CTI_phishing_CL, ZeroFox_CTI_phone_numbers_CL, ZeroFox_CTI_ransomware_CL, ZeroFox_CTI_telegram_CL, ZeroFox_CTI_threat_actors_CL, ZeroFox_CTI_vulnerabilities_CL, ZeroFoxAlertPoller_CL |
| Zoom | Zoom_CL |
| Zscaler |
ZNSegmentAudit_CL, ZPA_CL |
| Outros |
Failed_Range_To_Ingest_CL, FinanceOperationsActivity_CL, fluentbit_CL, IntegrationTable_CL, IntegrationTableIncidents_CL |
As tabelas de Microsoft Sentinel seguintes não são suportadas:
| Tabelas de Microsoft Sentinel não suportadas | |
|---|---|
|
|
Executar consulta KQL (Linguagem de Consulta Kusto) no Microsoft Sentinel data lake (query_lake)
Esta ferramenta executa uma única consulta KQL numa área de trabalho Microsoft Sentinel data lake especificada e devolve o conjunto de resultados não processados. Foi concebido para obtenção analítica ou de investigação focada e não para exportação em massa. Utilize esta ferramenta para avançar com uma investigação ou fluxo de trabalho analítico e obter um evento de segurança, alerta, recurso, identidade, dispositivo ou dados de melhoramento. Também pode utilizá-la juntamente com a search_tables ferramenta para identificar esquemas de tabela relevantes e criar consultas KQL válidas.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
query |
Sim | Este parâmetro utiliza uma consulta KQL bem formada para obter dados de uma área de trabalho Microsoft Sentinel data lake. |
workspaceId |
Não | Este parâmetro utiliza um identificador de área de trabalho para limitar a pesquisa a uma única área de trabalho do data lake ligada Microsoft Sentinel. |
Listar áreas de trabalho (list_sentinel_workspaces)
Esta ferramenta lista todos os pares de ID e nome da área de trabalho do data lake Microsoft Sentinel disponíveis para si. A inclusão do nome da área de trabalho fornece-lhe contexto útil para compreender que área de trabalho está a ser utilizada. Execute esta ferramenta antes de utilizar outras ferramentas de Microsoft Sentinel porque essas ferramentas precisam de um argumento de ID da área de trabalho para funcionar corretamente.
Analisador de entidades
Estas ferramentas utilizam IA para analisar os dados da sua organização no data lake Microsoft Sentinel. Fornecem um veredicto e informações detalhadas sobre URLs, domínios e entidades de utilizador. Ajudam a eliminar a necessidade de recolha manual de dados e integrações complexas normalmente necessárias para enriquecer e investigar entidades.
Por exemplo, analyze_user_entity razões sobre os padrões de autenticação do utilizador, anomalias comportamentais, atividade na sua organização e muito mais para fornecer um veredicto e uma análise. As analyze_url_entity razões das ferramentas sobre as informações sobre ameaças da Microsoft, as suas informações sobre ameaças personalizadas no Microsoft Sentinel plataforma de informações sobre ameaças (TIP) e a atividade de URL na sua organização. Também verifica Microsoft Sentinel listas de observação para dar um veredicto e uma análise.
As ferramentas de análise de entidades podem necessitar de alguns minutos para gerar resultados, pelo que existem ferramentas para iniciar a análise de cada entidade e outra que consulta os resultados da análise.
Importante
Para utilizar a ferramenta analisador de entidades, também precisa das seguintes funções:
- contribuidor de Security Copilot – esta função é necessária para utilizar a ferramenta, que consome Unidades de Computação de Segurança (SCUs) para fornecer análises de risco de entidade fundamentadas.
- Proprietário do Security Copilot (opcional) – esta função só é necessária para ver e monitorizar a utilização de SCU.
Para obter mais informações, veja Compreender a autenticação no Microsoft Security Copilot.
Iniciar análise (analyze_user_entity e analyze_url_entity)
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
| Microsoft Entra ID de objeto, Nome Principal de Utilizador (UPN) ou URL | Sim | Este parâmetro recebe o utilizador ou URL que pretende analisar. |
startTime |
Sim | Este parâmetro utiliza a hora de início da janela de análise. |
endTime |
Sim | Este parâmetro assume a hora de fim da janela de análise. |
workspaceId |
Não | Este parâmetro utiliza um identificador de área de trabalho para limitar a pesquisa a uma única área de trabalho do data lake ligada Microsoft Sentinel. |
Estas ferramentas devolvem um valor de identificador que pode fornecer à ferramenta de análise de obtenção como entrada.
Obter análise (get_entity_analysis)
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
analysisId |
Sim | Este parâmetro recebe o identificador da tarefa recebido das ferramentas de análise inicial. |
Enquanto esta ferramenta consulta automaticamente durante alguns minutos até os resultados estarem prontos, o tempo limite interno pode não ser suficiente para operações de análise longas. Poderá ter de executá-lo várias vezes para obter resultados.
Observação
Pode ser vantajoso incluir um pedido como render the results as returned exactly from the tool, que ajuda a garantir que a resposta do analisador é fornecida sem processamento adicional pelo cliente MCP.
Informações adicionais
analyze_user_entitysuporta um período de tempo máximo de sete dias para maximizar a precisão dos resultados.analyze_user_entitysó funciona para utilizadores com um ID de objeto Microsoft Entra (utilizadores). Os utilizadores apenas do Active Directory no local não são suportados para análise de utilizadores.analyze_user_entityrequer que as seguintes tabelas estejam presentes no data lake para garantir a precisão da análise:- AlertEvidence
- SigninLogs
- CloudAppEvents
- IdentityInfo (Disponível apenas para inquilinos com Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem ou Microsoft Defender para Ponto de Extremidade P2 licenciamento)
Se não tiver nenhuma destas tabelas necessárias,
analyze_user_entitygera uma mensagem de erro que lista as tabelas que não integrou, juntamente com ligações para a documentação de integração correspondente.analyze_user_entityFunciona melhor quando as tabelas seguintes também estão presentes no data lake, mas continuam a funcionar e a avaliar riscos, mesmo que estas tabelas não estejam disponíveis:analyze_url_entityFunciona melhor quando as tabelas seguintes estão presentes no data lake, mas continuam a funcionar e a avaliar o risco, mesmo que estas tabelas não estejam disponíveis:Se não tiver nenhuma destas tabelas,
analyze_url_entitygera uma resposta com uma exclusão de responsabilidade que lista as tabelas que não integrou, juntamente com ligações para a documentação de inclusão correspondente.A execução de várias instâncias do analisador de entidades ao mesmo tempo pode aumentar a latência para cada execução. Para evitar tempos limite e evitar atingir os limiares de pré-visualização do analisador de entidades, comece por executar um máximo de cinco análises ao mesmo tempo e, em seguida, ajuste-a conforme necessário com base na frequência com que a aplicação lógica é acionada na sua organização.
Ferramentas de gráficos (pré-visualização)
Importante
Estas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
As ferramentas de gráfico permitem-lhe raciocinar sobre vários gráficos de Microsoft Sentinel, incluindo exposição, investigação e gráficos de raios de explosão. Ao utilizar estas ferramentas, pode recolher informações e tomar decisões condicionadas por dados enquanto consulta em linguagem natural.
Finder do raio de explosão (find_blastradius)
Esta ferramenta avalia o raio de explosão de um nó ao explorar caminhos de propagação para os recursos críticos de uma organização. Detalha os caminhos que começam na entidade que fornece, avalia o risco e especifica recomendações para o reduzir.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
sourceName |
Sim | Este parâmetro utiliza palavras-chave para procurar informações relevantes que correspondam a uma entidade no gráfico. Pode ser um nó ou um grupo de nós. |
Ligação e deteção de caminhos (find_walkable_paths)
Esta ferramenta enumera as ligações entre determinados pares de origens e destinos. Analisa a natureza das ligações e, em seguida, decide se pode ser percorrido para movimento lateral.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
sourceName |
Sim | Este parâmetro utiliza palavras-chave para corresponder a uma entidade no gráfico para o ponto de partida do caminho. |
targetName |
Sim | Este parâmetro utiliza palavras-chave para corresponder a uma entidade no gráfico para o destino do caminho. |
Analisador de perímetro de exposição (find_exposure_perimeter)
Esta ferramenta lista as ligações de entrada de outras entidades para a entidade especificada. Ajuda-o a determinar o risco que a entidade enfrenta. A ferramenta pode devolver recomendações prioritárias com base nos resultados.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
targetName |
Sim | Este parâmetro utiliza palavras-chave para identificar e corresponder a uma entidade no gráfico; o nome do nó. |
minPathLength |
Não | Este parâmetro utiliza o número mínimo de saltos num caminho. |
maxPathLength |
Não | Este parâmetro utiliza o número máximo de saltos num caminho. |
resultsCountLimit |
Não | Este parâmetro utiliza o número máximo de caminhos a devolver. |
Caminho entre duas entidades (find_connected_nodes)
Esta ferramenta lista caminhos percorríveis entre duas entidades que correspondem a critérios ou características que descrevem essas entidades.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
sourceNodeLabel |
Sim | Este parâmetro utiliza uma etiqueta de origem válida para filtrar. Para etiquetas suportadas, utilize a get_graph_context ferramenta . |
sourceNodeProperties |
Não | Este parâmetro inclui uma lista de propriedades válidas para a entidade do ponto de partida, separadas por vírgulas. Para as propriedades suportadas, utilize a get_graph_context ferramenta . |
targetNodeLabel |
Sim | Este parâmetro utiliza uma etiqueta de destino válida para filtrar. Para etiquetas suportadas, utilize a get_graph_context ferramenta . |
targetNodeProperties |
Não | Este parâmetro inclui uma lista de propriedades válidas para a entidade de ponto final, separadas por vírgulas. Para as propriedades suportadas, utilize a get_graph_context ferramenta . |
resultsCountLimit |
Não | Este parâmetro utiliza o número máximo de resultados a devolver. |
Correspondência de nós (find_nodes)
Esta ferramenta localiza e corresponde às entidades que o gráfico representa como nós com base em determinados critérios ou características. Devolve uma lista de nós que correspondem aos critérios definidos.
| Parâmetros | Obrigatório? | Descrição |
|---|---|---|
validNodeLabel |
Sim | Este parâmetro utiliza uma etiqueta de nó para corresponder. Para etiquetas suportadas, utilize a get_graph_context ferramenta . |
validNodeProperties |
Não | Este parâmetro utiliza uma lista de propriedades para corresponder, separadas por vírgulas. Para as propriedades suportadas, utilize a get_graph_context ferramenta . |
resultsLimit |
Não | Este parâmetro utiliza o número máximo de resultados a devolver. |
Informações gerais e contexto para gráficos (get_graph_context)
Esta ferramenta fornece contexto para os parâmetros e serve como referência para ajudá-lo a compreender que ferramentas, funcionalidades ou parâmetros pode utilizar. Utilize-o como auxiliar para obter o contexto do gráfico para que possa utilizar melhor as outras ferramentas mcP de gráficos na coleção.
Informações adicionais para ferramentas de gráficos
- Para definir o âmbito dos resultados apenas para o gráfico, adicione
in my graphaos pedidos. - A consulta de identidades não suporta nomes principais de utilizador (UPNs).
- Quando especificar o tipo da entidade, utilize-a antes do nome.
- Instalar e configurar a coleção de ferramentas de grafos não tem custos. No entanto, invoca o medidor de gráficos quando começa a utilizar as ferramentas para consultar um gráfico de Microsoft Sentinel. Para obter mais informações, veja: Planear os custos e compreender Microsoft Sentinel preços e faturação.
Pedidos de exemplo
Os seguintes pedidos de exemplo demonstram o que pode fazer com a recolha de exploração de dados:
- Localize os três principais utilizadores que estão em risco e explique por que motivo estão em risco.
- Encontre falhas de início de sessão nas últimas 24 horas e dê-me um breve resumo das principais conclusões.
- Identifique os dispositivos que apresentaram um número excecional de ligações de rede de saída.
- Ajude-me a compreender se o ID> do objeto de utilizador do utilizador <está comprometido.
- Investigue os utilizadores com um alerta de utilização de palavra-passe nos últimos sete dias e diga-me se algum deles está comprometido.
- Encontre todos os IOCs de URL do relatório> de <análise de ameaças e analise-os para me dizer tudo o que a Microsoft sabe sobre os mesmos.
- Qual é o raio de explosão do nó X se for comprometido?
- Liste todos os caminhos do utilizador X para os recursos críticos.
- Qual é o perímetro de exposição dos meus servidores SQL críticos?
Como Microsoft Sentinel ferramentas MCP funcionam juntamente com o seu agente
O exemplo seguinte mostra como um agente responde a um pedido ao orquestrar dinamicamente as ferramentas.
Pedido de exemplo:Find the top three users that are at risk and explain why they're at risk.
Resposta típica (GitHub Copilot com Claude Sonnet 4):
Explicação:
Quando o agente recebe o pedido, procura tabelas relevantes que contenham informações de risco e segurança do utilizador. Começa por desconstruir o pedido em palavras-chave de pesquisa para encontrar as tabelas.
No pedido de exemplo, a pesquisa identifica quatro tabelas relevantes do âmbito das tabelas às quais o utilizador tem acesso:
-
AADNonInteractiveUserSignInLogs- Eventos de início de sessão de Microsoft Entra ID não interativos -
BehaviorAnalytics- Dados da Análise de Comportamento do Utilizador e da Entidade (UEBA) -
SigninLogs- Eventos de início de sessão interativos Microsoft Entra ID -
AADUserRiskEvents- Deteções de risco de proteção de identidade
-
O agente faz outra pesquisa utilizando a ferramenta Pesquisa semântica no catálogo de tabelas (
search_tables), desta vez com termos mais amplos, para encontrar outras tabelas das quais deve consultar dados para influenciar o seu raciocínio.
O agente identifica as tabelas relevantes e, em seguida, utiliza a consulta Executar KQL (Linguagem de Consulta Kusto) na ferramenta Microsoft Sentinel data lake (
query_lake) para consultar dados e encontrar os três principais utilizadores em risco. A primeira tentativa falha porque a consulta KQL tem um erro semântico.
O agente corrige a consulta KQL por si só e obtém com êxito os dados de Microsoft Sentinel data lake, localizando os utilizadores de risco.
O agente executa mais uma consulta para obter informações detalhadas sobre os utilizadores de risco para fornecer um melhor contexto sobre o motivo pelo qual estão em risco.
O agente responde ao utilizador com a análise abrangente.
