Microsoft Sentinel MCP (预览版)
来自 Microsoft Sentinel MCP 服务器的这一系列工具让你的 playbook 能够对全面的安全数据进行推理,从而实现强大的灵活 SOC 自动化。
此连接器在以下产品和区域中可用:
| 服务 | Class | 区域 |
|---|---|---|
| Copilot Studio | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 逻辑应用程序 | 标准 | 除以下各项外的所有 逻辑应用区域 : - Azure 政府区域 - Azure 中国区域 - 美国国防部(DoD) |
| Power Apps | 高级 | 除以下各项外的所有 Power Apps 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| Power Automate | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 联系人 | |
|---|---|
| Name | Microsoft |
| URL | https://support.microsoft.com |
| 连接器元数据 | |
|---|---|
| 发布者 | Microsoft |
| 网站 | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| 隐私策略 | https://privacy.microsoft.com |
| 类别 | 安全性 |
先决条件
Sentinel 工作区 ID
支持的作
实体分析器
根据组织最近的活动、流行程度和相关威胁情报,为实体(例如 URL、用户等)生成风险评估。
获取凭据
有关详细权限说明,请参阅: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview 此工具需要安全读取者角色。 支持以下访问模式:
Entra Id
代表已登录用户执行作。
托管身份
代表逻辑应用托管标识执行作。
创建连接
连接器支持以下身份验证类型:
| 逻辑应用托管标识 | 使用托管标识创建连接 | 仅限 LOGICAPPS | 不可共享 |
| Microsoft Entra ID 集成 | 使用 Microsoft Entra ID 访问 | 所有区域 | 不可共享 |
| 服务主体身份验证 | 使用 Microsoft Entra ID 应用程序进行服务主体身份验证 | 所有区域 | 不可共享 |
| 默认值 [已弃用] | 此选项仅适用于没有显式身份验证类型的较旧连接,并且仅用于向后兼容性。 | 所有区域 | 不可共享 |
逻辑应用托管标识
身份验证 ID:managedIdentityAuth
适用:仅限 LOGICAPPS
使用托管标识创建连接
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
| Name | 类型 | Description | 必选 |
|---|---|---|---|
| 托管身份 | managedIdentity | 使用托管标识登录 | True |
Microsoft Entra ID集成
身份验证 ID:tokenBasedAuth
适用:所有区域
使用 Microsoft Entra ID 访问
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
服务主体身份验证
身份验证 ID:servicePrincipalAuth
适用:所有区域
使用 Microsoft Entra ID 应用程序进行服务主体身份验证
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
| Name | 类型 | Description | 必选 |
|---|---|---|---|
| 客户 ID | 字符串 | True | |
| 客户密钥 | securestring | True | |
| 租户 ID | 字符串 | True |
默认值 [已弃用]
适用:所有区域
此选项仅适用于没有显式身份验证类型的较旧连接,并且仅用于向后兼容性。
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
限制
| 名称 | 调用 | 续订期 |
|---|---|---|
| 每个连接的 API 调用数 | 100 | 60 秒 |
操作
| Microsoft Sentinel - 数据探索 MCP 服务器 |
借助 Microsoft Sentinel 模型上下文协议 (MCP) 服务器中的数据浏览工具集合,可以使用自然语言搜索相关表并从 Microsoft Sentinel 的数据湖中检索数据。 了解详细信息:https://aka.ms/mcp/data-exploration |
| 实体分析器 |
根据组织最近的活动、流行程度和相关威胁情报,为实体(例如 URL、用户等)生成风险评估。 |
Microsoft Sentinel - 数据探索 MCP 服务器
借助 Microsoft Sentinel 模型上下文协议 (MCP) 服务器中的数据浏览工具集合,可以使用自然语言搜索相关表并从 Microsoft Sentinel 的数据湖中检索数据。 了解详细信息:https://aka.ms/mcp/data-exploration
实体分析器
根据组织最近的活动、流行程度和相关威胁情报,为实体(例如 URL、用户等)生成风险评估。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
工作区 ID
|
workspaceId | True | uuid |
工作区 ID |
|
回头看几天
|
lookBackDays | True | integer |
回溯分析的天数 |
|
属性
|
properties | True | object |
属性 |
返回
- response
- AnalyzeEntityResponse
定义
AnalyzeEntityResponse
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
状态
|
status | string |
分析的状态。 URL 的示例值为“Running”、“Completed”或“Faulted”。 |
|
Classification
|
classification | string |
实体的判决。 URL 的示例值为“恶意”、“可疑”或“未知”。 |
|
分析
|
analysis | string |
与实体关联的分析,根据组织中的流行和活动提供判决的理由和其他上下文。 |
|
建议
|
recommendation | string |
根据判决,建议对实体执行后续步骤。 |
|
免责声明
|
disclaimer | string |
有关实体及其分析结果的重要说明。 |
|
属性
|
properties | object |
输入的实体类型 |
|
数据源列表
|
dataSourceList | array of string |
分析中使用的数据源列表 |