Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
A coleção de triagem no servidor Microsoft Sentinel Model Context Protocol (MCP) integra os seus modelos de IA com APIs que suportam triagem e investigação de incidentes. Esta integração permite-lhe priorizar incidentes rapidamente e procurar facilmente os seus próprios dados, reduzindo o tempo médio até à resolução, a exposição ao risco e o tempo de permanência.
Use a ferramenta para os seguintes cenários:
- Triagem de incidentes: Priorize rapidamente os incidentes usando os seus próprios modelos de IA, reduzindo o tempo médio até à resolução. Use as ferramentas para obter incidentes, alertas, evidências de alerta, entidades e outros dados.
- Caça: Analise facilmente os seus dados usando os seus próprios modelos de IA, reduzindo a exposição ao risco e o tempo de exposição. Use as ferramentas para executar consultas de caça e obter os dados necessários durante a sua caça.
Pré-requisitos
Para aceder à coleção de ferramentas de triagem, deve cumprir os seguintes pré-requisitos:
- Microsoft Defender XDR, Microsoft Defender for Endpoint ou Microsoft Sentinel integrado no portal Defender
- Qualquer um dos editores de código e plataformas de construção de agentes suportados por IA:
Adicionar a coleção de triagem
Para adicionar a coleção de exploração de dados, você deve primeiro configurar a interface unificada do servidor MCP do Microsoft Sentinel. Siga as instruções passo a passo para editores de código e plataformas de construção de agentes com IA compatíveis, listadas na secção de Pré-requisitos .
A coleção de triagem está alojada na seguinte URL:
https://sentinel.microsoft.com/mcp/triage
Ferramentas na coleção de triagem
Listar incidentes de segurança (ListIncidents)
Esta ferramenta lista incidentes de segurança e filtra-os por intervalo de datas, gravidade, estado, analista atribuído e estado da investigação.
| Parâmetros | Necessário? | Description |
|---|---|---|
createdAfter |
Não | Tempo após o qual o incidente foi criado |
createdBefore |
Não | Tempo anterior à criação do incidente |
Severity |
Não | Gravidade atribuída ao incidente (por exemplo, Baixa ou Alta) |
Status |
Não | Estado atual do incidente (Novo, Ativo ou Fechado) |
AssignedTo |
Não | A que utilizador é atribuído o incidente |
Classification |
Não | Classificação (por exemplo, Verdadeiro Positivo ou Falso Positivo) |
Determination |
Não | Determinação (por exemplo, malware ou phishing) |
orderBy |
Não | Instruções para encomendar os incidentes devolvidos |
Search |
Não | Pesquisa em texto livre entre os dados do incidente |
includeAlertsData |
Não | Opção para incluir dados dos alertas subjacentes |
skip |
Não | Ignora um número especificado de itens do início do conjunto de resultados |
top |
Não | Limita o número de itens devolvidos na resposta |
Registe um incidente de segurança (GetIncidentById)
Esta ferramenta recupera um incidente de segurança por ID, incluindo as suas propriedades, alertas correlacionados e metadados como estado, gravidade, classificação e datas e horas.
| Parâmetros | Necessário? | Description |
|---|---|---|
incidentID |
Yes | O identificador está associado ao incidente |
includeAlertsData |
Não | Opção para incluir dados dos alertas subjacentes |
Liste alertas de segurança relacionados com um incidente (ListAlerts)
Esta ferramenta lista alertas de segurança, ordena-os e filtra-os por intervalo de datas, gravidade e estado.
| Parâmetros | Necessário? | Description |
|---|---|---|
createdAfter |
Não | Tempo após o qual o alerta foi criado |
createdBefore |
Não | Tempo antes do alerta ser criado |
Severity |
Não | Gravidade atribuída ao alerta (por exemplo, Baixa ou Alta) |
status |
Não | Estado atual do alerta; valores possíveis: Desconhecido, Novo, Em Progresso e Resolvido |
skip |
Não | Ignora um número especificado de itens do início do conjunto de resultados |
top |
Não | Limita o número de itens devolvidos na resposta |
Receba um alerta de segurança (GetAlertByID)
Esta ferramenta recupera um alerta de segurança por ID. Devolve os detalhes completos do alerta, incluindo gravidade, estatuto, classificação e entidades de provas relacionadas.
| Parâmetros | Necessário? | Description |
|---|---|---|
AlertID |
Yes | Identificador único da indicação |
Listar tabelas avançadas de caça (FetchAdvancedHuntingTablesOverview)
Esta ferramenta lista os nomes das tabelas avançadas de caça disponíveis e as suas breves descrições. É essencial para compreender as fontes de dados antes de escrever consultas à Linguagem de Consulta Kusto (KQL).
| Parâmetros | Necessário? | Description |
|---|---|---|
tableNames |
Não | Nomes avançados de tabelas de caça |
Obtenha esquema avançado de tabela de caça (FetchAdvancedHuntingTablesDetailedSchema)
Esta ferramenta recupera esquemas de colunas completos com descrições para tabelas avançadas de caça especificadas. A informação que fornece é crucial para construir consultas KQL sem erros. Use esta ferramenta antes de chamar RunAdvancedHuntingQuery.
| Parâmetros | Necessário? | Description |
|---|---|---|
tableNames |
Yes | Nomes avançados de tabelas de caça |
Executar consulta de caça (RunAdvancedHuntingQuery)
Execute uma consulta avançada de caça usando KQL em tabelas Microsoft Defender suportadas para procurar proativamente ameaças. Para compreender as fontes de dados, execute primeiro FetchAdvancedHuntingTablesOverview. Para KQL sem erros, primeiro, ejecute FetchAdvancedHuntingTablesDetailedSchema.
| Parâmetros | Necessário? | Description |
|---|---|---|
kqlQuery |
Yes | Consulta KQL para executar sobre a tabela selecionada |
timestamp |
Não | Carimbo temporal a escolher para a consulta |
Obter informação do ficheiro (GetDefenderFileInfo)
Obtenha detalhes do ficheiro como códigos hash, tamanho, tipo, editora, informações sobre o certificado do assinante e prevalência global, juntamente com registos de data e hora de primeira e última visualização.
| Parâmetros | Necessário? | Description |
|---|---|---|
fileHash |
Yes | O resumo SHA-1, SHA-256 ou MD5 do ficheiro |
Obter estatísticas de ficheiros (GetDefenderFileStatistics)
Obtenha estatísticas de prevalência de ficheiros organizacionais, incluindo o número de dispositivos onde o ficheiro foi observado.
| Parâmetros | Necessário? | Description |
|---|---|---|
fileHash |
Yes | O resumo SHA-1, SHA-256 ou MD5 do ficheiro |
Receba alertas de ficheiros (GetDefenderFileAlerts)
Liste todos os alertas de segurança gerados por um ficheiro específico na sua organização, incluindo alertas históricos e ativos.
| Parâmetros | Necessário? | Description |
|---|---|---|
fileHash |
Yes | O resumo SHA-1, SHA-256 ou MD5 do ficheiro |
Obter dispositivos relacionados com ficheiros (GetDefenderFileRelatedMachines)
Liste todos os dispositivos que encontraram um ficheiro específico para avaliar a sua dispersão pelo ambiente.
| Parâmetros | Necessário? | Description |
|---|---|---|
fileHash |
Yes | O resumo SHA-1, SHA-256 ou MD5 do ficheiro |
Listar indicadores de ameaça (ListDefenderIndicators)
Liste os indicadores de compromisso do locatário no Microsoft Defender for Endpoint. Use filtros para tipo, valor, ação e gravidade.
| Parâmetros | Necessário? | Description |
|---|---|---|
indicatorType |
Não | Tipo de indicador (por exemplo, hash do ficheiro, nome de domínio ou endereço IP) |
indicatorValue |
Não | Valor específico do indicador para filtrar resultados |
Action |
Não | Ação aplicada ao indicador (Alerta, Bloquear ou Permitir) |
ApplicationName |
Não | Aplicação associada ao indicador |
Title |
Não | Título ou descrição do indicador |
Severity |
Não | Nível de gravidade (Informativo, Baixo, Médio ou Alto) |
createdAfter |
Não | Indicadores de retorno criados após esta marca temporal |
createdBefore |
Não | Indicadores de retorno criados antes deste carimbo temporal |
Listar investigações automatizadas (ListDefenderInvestigations)
Liste casos de investigação automatizada no Defender for Endpoint. Use filtros para estado, dispositivo alvo, hora de início ou ID de alerta de disparo.
| Parâmetros | Necessário? | Description |
|---|---|---|
startTime |
Não | As investigações de retorno começaram após este carimbo temporal |
endTime |
Não | As investigações de devolução começaram antes deste carimbo temporal |
Status |
Não | Estado de investigação (A decorrer, Concluído ou Falhou) |
skip |
Não | Ignora um número especificado de itens do início do conjunto de resultados |
top |
Não | Limita o número de itens devolvidos na resposta |
Obtenha investigação automatizada (GetDefenderInvestigation)
Obtenha detalhes de uma investigação automatizada específica, incluindo estado, carimbos temporais, dispositivo alvo e alerta de disparo.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único da investigação |
Receba todos os alertas de segurança para um endereço IP (GetDefenderIpAlerts)
Liste todos os alertas de segurança na organização relacionados com um endereço IP especificado.
| Parâmetros | Necessário? | Description |
|---|---|---|
ipAddress |
Yes | Endereço IP para recuperar alertas relacionados para |
Obtenha estatísticas para um endereço IP (GetDefenderIpStatistics)
Obtenha estatísticas para um determinado endereço IP, incluindo o número de dispositivos distintos que comunicaram com ele.
| Parâmetros | Necessário? | Description |
|---|---|---|
ipAddress |
Yes | Endereço IP para o qual obter estatísticas |
Obter dispositivo endpoint (GetDefenderMachine)
Obtenha informações detalhadas sobre um dispositivo Defender for Endpoint específico, incluindo detalhes do sistema operativo, estado de saúde, pontuação de risco e nível de exposição.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único do dispositivo |
Receba alertas de segurança relacionados com um dispositivo (GetDefenderMachineAlerts)
Liste todos os alertas de segurança associados a um dispositivo específico para uma visão centrada no dispositivo das ameaças.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único do dispositivo |
Obtenha utilizadores que iniciaram sessão num dispositivo (GetDefenderMachineLoggedOnUsers)
Liste as contas que iniciaram sessão num dispositivo. Para cada utilizador, a API fornece contexto, como o nome de utilizador da conta e o domínio.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único do dispositivo |
Obter vulnerabilidades de dispositivos (GetDefenderMachineVulnerabilities)
Liste as vulnerabilidades de segurança descobertas num dispositivo com detalhes de Vulnerabilidades e Exposições Comuns (CVE) e pontuações de avaliação de risco.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único do dispositivo |
Encontrar dispositivo pelo endereço IP interno (FindDefenderMachineByIp)
Liste todos os dispositivos que comunicaram com um endereço IP interno específico no intervalo de tempo de 15 minutos antes e depois do carimbo temporal indicado, para mapeamento de rede e análise de movimentos laterais.
| Parâmetros | Necessário? | Description |
|---|---|---|
ipAddress |
Yes | Endereço IP interno a procurar |
timestamp |
Yes | O carimbo temporal que define a janela de consulta, verificando 15 minutos antes e 15 minutos após o tempo especificado |
Listar tarefas de remediação (ListDefenderRemediationActivities)
Liste as tarefas de remediação e o seu estado de execução entre dispositivos. Cada atividade de remediação corresponde a uma recomendação ou tarefa de segurança.
| Parâmetros | Necessário? | Description |
|---|---|---|
Type |
Não | Tipo de atividade de remediação |
machineID |
Não | Identificador do dispositivo afetado |
Status |
Não | Estado da tarefa de remediação (Pendente ou Concluída) |
createdTimeFrom |
Não | Tarefas de retorno criadas após este carimbo temporal |
createdTimeTo |
Não | Devolver tarefas criadas antes deste carimbo temporal |
skip |
Não | Ignora um número especificado de itens do início do conjunto de resultados |
top |
Não | Limita o número de itens devolvidos na resposta |
Obtenha informações detalhadas sobre tarefas de remediação (GetDefenderRemediationActivity)
Obtenha informações detalhadas sobre tarefas de remediação, incluindo o estado da execução, resultados e dispositivos afetados.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único da atividade de remediação |
Liste alertas de segurança relacionados com uma conta de utilizador (ListUserRelatedAlerts)
Liste todos os alertas de segurança associados a uma conta de utilizador específica. Esta informação é essencial para investigações de ameaças centradas no utilizador e análise comportamental.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único da conta de utilizador |
Listar todos os dispositivos ativos para um utilizador (ListUserRelatedMachines)
Liste todos os dispositivos onde um utilizador específico tem sessões de login ativas ou recentes. Use esta ferramenta para acompanhar a atividade do utilizador e analisar o movimento lateral.
| Parâmetros | Necessário? | Description |
|---|---|---|
ID |
Yes | Identificador único da conta de utilizador |
Liste todos os dispositivos afetados por uma vulnerabilidade (ListDefenderMachinesByVulnerability)
Liste todos os dispositivos afetados por uma vulnerabilidade CVE específica. Esta ferramenta é fundamental para a priorização da gestão de patches.
| Parâmetros | Necessário? | Description |
|---|---|---|
cveID |
Yes | Identificador CVE da vulnerabilidade |
Listar vulnerabilidades que afetam software (ListDefenderVulnerabilitiesBySoftware)
Liste vulnerabilidades que afetam software específico num dispositivo específico para avaliação direcionada de vulnerabilidades.
| Parâmetros | Necessário? | Description |
|---|---|---|
machineID |
Yes | Identificador único do dispositivo |
softwareID |
Yes | Identificador único do software |
Exemplos de instruções
Os seguintes exemplos de prompts demonstram o que pode fazer com a recolha de triagem:
- Listar os últimos cinco incidentes do meu inquilino e avaliar qual é o mais urgente para triagem
- Emitir os alertas para <incidentes específicos> e analisar as provas de alerta quanto à sua maliciosidade.
- Realizar uma consulta de monitorização para verificar quais os utilizadores que interagiram com <a entidade>
Limitações
- Não pode usar esta coleção como convidado noutro locatário ou com acesso delegado. Só pode usar o servidor MCP no seu próprio locatário.
- Os utilizadores do Microsoft Sentinel não conseguem escolher qual espaço de trabalho usar.
- Não podes consultar dados no Microsoft Sentinel Lake. Pode usar as ferramentas de exploração de dados em vez disso.