這很重要
這項資訊涉及發行前產品,在發行之前可能會有大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
Microsoft Sentinel 模型上下文通訊協定 (MCP) 伺服器中的分級集合,可將您的 AI 模型與支援事件分級與搜捕的 API 整合。 此整合讓你能快速優先排序事件,輕鬆搜尋自身資料,縮短平均解決時間、風險暴露及停留時間。
以下情境可使用此工具:
- 事件分流: 利用自有的 AI 模型快速優先處理事件,縮短平均解決時間。 利用這些工具擷取事件、警示、警示證據、實體及其他資料。
- 打獵: 利用自有的 AI 模型輕鬆搜尋資料,降低風險暴露與停留時間。 在狩獵過程中,利用這些工具執行搜尋查詢並取得所需的資料。
先決條件
要存取分流工具庫,您必須具備以下先決條件:
- Microsoft Defender XDR、Microsoft Defender for Endpoint 或 Microsoft Sentinel 已加入 Defender 入口網站
- 任何支援的 AI 驅動程式碼編輯器與代理建置平台:
新增篩選集合
若要新增資料探索集合,您必須先設定新增 Microsoft Sentinel 的統一 MCP 伺服器介面。 請依照 先決條件 章節中列出的相容 AI 驅動的程式碼編輯器和代理建置平台的逐步說明進行操作。
分流資料庫的存放地址如下:
https://sentinel.microsoft.com/mcp/triage
分級集合中的工具
列出安全事件(ListIncidents)
此工具列出安全事件,並依日期範圍、嚴重性、狀態、分配的分析師及調查狀態進行篩選。
| 參數 | Required? | Description |
|---|---|---|
createdAfter |
否 | 事件建立的時間 |
createdBefore |
否 | 事件創建前的時間 |
Severity |
否 | 事件的嚴重程度(例如,低或高) |
Status |
否 | 事件當前狀態(新狀態、活躍狀態或已結束狀態) |
AssignedTo |
否 | 事件被指派給哪個使用者 |
Classification |
否 | 分類(例如,真陽性或假陽性) |
Determination |
否 | 判斷 (例如,惡意程式碼或網路釣魚) |
orderBy |
否 | 將事件排序傳回的指示 |
Search |
否 | 在事件資料中進行自由文字搜尋 |
includeAlertsData |
否 | 可選擇包含底層警示的資料 |
skip |
否 | 從結果集起始跳過指定數量的項目 |
top |
否 | 限制回應中回傳的項目數量 |
取得安全事件(GetIncidentById)
此工具依 ID 檢索安全事件,包括其屬性、相關警示,以及狀態、嚴重性、分類和時間戳等元資料。
| 參數 | Required? | Description |
|---|---|---|
incidentID |
Yes | 識別碼與事件相關聯 |
includeAlertsData |
否 | 可選擇包含底層警示的資料 |
列出與事件相關的安全警示(ListAlerts)
此工具列出安全警示,排序並依日期範圍、嚴重程度及狀態篩選。
| 參數 | Required? | Description |
|---|---|---|
createdAfter |
否 | 建立警報之後的時間 |
createdBefore |
否 | 警報建立前的時間 |
Severity |
否 | 警示的嚴重程度(例如,低或高) |
status |
否 | 警報目前狀態;可能的值:未知、新、進行中、已解決 |
skip |
否 | 從結果集起始跳過指定數量的項目 |
top |
否 | 限制回應中回傳的項目數量 |
取得安全警示(GetAlertByID)
此工具可依 ID 取得安全警示。 它會回傳完整的警報細節,包括嚴重性、狀態、分類及相關證據實體。
| 參數 | Required? | Description |
|---|---|---|
AlertID |
Yes | 警示的唯一識別碼 |
列出進階狩獵表(FetchAdvancedHuntingTablesOverview)
此工具列出可用進階狩獵桌的名稱及其簡短說明。 在撰寫 Kusto 查詢語言(KQL)查詢前,了解資料來源非常重要。
| 參數 | Required? | Description |
|---|---|---|
tableNames |
否 | 進階搜捕資料表名稱 |
取得進階搜捕資料表結構描述 (FetchAdvancedHuntingTablesDetailedSchema)
此工具可取得完整的欄位結構及指定進階狩獵表的描述。 它所提供的資訊對於建構無錯誤的 KQL 查詢至關重要。 在呼叫 RunAdvancedHuntingQuery 之前使用這個工具。
| 參數 | Required? | Description |
|---|---|---|
tableNames |
Yes | 進階搜捕資料表名稱 |
執行搜尋查詢(RunAdvancedHuntingQuery)
透過使用 KQL 跨支援的 Microsoft Defender 資料表執行進階搜尋查詢,主動搜尋威脅。 要理解資料來源,先執行 FetchAdvancedHuntingTablesOverview。 對於無錯誤的 KQL,先執行 FetchAdvancedHuntingTablesDetailedSchema。
| 參數 | Required? | Description |
|---|---|---|
kqlQuery |
Yes | KQL 查詢以執行所選資料表 |
timestamp |
否 | 查詢時可選擇的時間戳記 |
取得檔案資訊 (GetDefenderFileInfo)
取得檔案細節,如雜湊值、大小、類型、發布者、簽署者憑證資訊,以及全球普遍程度,並附有首次與最後一次出現的時間戳記。
| 參數 | Required? | Description |
|---|---|---|
fileHash |
Yes | 檔案的 SHA-1、SHA-256 或 MD5 雜湊值 |
取得檔案統計 (GetDefenderFileStatistics)
取得組織檔案盛行率統計資料,包括檔案被觀察到的裝置數量。
| 參數 | Required? | Description |
|---|---|---|
fileHash |
Yes | 檔案的 SHA-1、SHA-256 或 MD5 雜湊值 |
取得檔案提醒 (GetDefenderFileAlerts)
列出組織內由特定檔案產生的所有安全警示,包括歷史及現行警示。
| 參數 | Required? | Description |
|---|---|---|
fileHash |
Yes | 檔案的 SHA-1、SHA-256 或 MD5 雜湊值 |
取得與檔案相關的裝置 (GetDefenderFileRelatedMachines)
列出所有遇到特定檔案的裝置,以評估其在環境中的分布。
| 參數 | Required? | Description |
|---|---|---|
fileHash |
Yes | 檔案的 SHA-1、SHA-256 或 MD5 雜湊值 |
列出威脅指標(ListDefenderIndicators)
列出 Microsoft Defender for Endpoint 中的租戶入侵指標(IOC)。 使用類型、價值、行動和嚴重度的篩選器。
| 參數 | Required? | Description |
|---|---|---|
indicatorType |
否 | 指示類型(例如檔案雜湊、網域名稱或 IP 位址) |
indicatorValue |
否 | 指標的特定值以篩選結果 |
Action |
否 | 對指示器施加的動作(警報、封鎖或允許) |
ApplicationName |
否 | 與指示器相關的應用 |
Title |
否 | 指示器的標題或說明 |
Severity |
否 | 嚴重程度等級(資訊性、低、中、高) |
createdAfter |
否 | 在此時間戳後建立的回傳指標 |
createdBefore |
否 | 在此時間戳之前建立的返回指示器 |
自動調查列表(ListDefenderInvestigations)
在 Defender for Endpoint 中列出自動化調查案例。 使用狀態、目標裝置、啟動時間或觸發警報 ID 的篩選器。
| 參數 | Required? | Description |
|---|---|---|
startTime |
否 | 此時間戳後開始回溯調查作業 |
endTime |
否 | 傳回在此時間戳記之前就已開始的調查 |
Status |
否 | 調查狀態(執行中、完成或失敗) |
skip |
否 | 從結果集起始跳過指定數量的項目 |
top |
否 | 限制回應中回傳的項目數量 |
取得自動化調查(GetDefenderInvestigation)
取得特定自動化調查的詳細資訊,包括狀態、時間戳、目標裝置及觸發警報。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 調查的唯一識別碼 |
取得與 IP 位址(GetDefenderIpAlerts)相關的所有安全警示
列出組織內所有與指定 IP 位址相關的安全警示。
| 參數 | Required? | Description |
|---|---|---|
ipAddress |
Yes | 用於取得相關警示的 IP 位址 |
取得 IP 位址的統計資料 (GetDefenderIpStatistics)
取得特定 IP 位址的統計數據,包括與該位址通訊的不同裝置數量。
| 參數 | Required? | Description |
|---|---|---|
ipAddress |
Yes | 用以取得統計資料的 IP 位址 |
取得端點裝置(GetDefenderMachine)
獲取特定 Defender for Endpoint 裝置的詳細資訊,包括作業系統細節、健康狀態、風險分數及暴露等級。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 裝置的唯一識別碼 |
獲取與裝置相關的安全警示(GetDefenderMachineAlerts)
列出與特定裝置相關的所有安全警示,以便查看裝置為中心的威脅概況。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 裝置的唯一識別碼 |
取得登入裝置的使用者(GetDefenderMachineLoggedOnUsers)
列出登入裝置的帳號。 對每位使用者,API 提供如帳號使用者名稱與網域等上下文資訊。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 裝置的唯一識別碼 |
檢索裝置漏洞(GetDefenderMachineVulnerabilities)
列出裝置上發現的安全漏洞,並附有常見漏洞與暴露(CVE)細節及風險評估分數。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 裝置的唯一識別碼 |
透過內部 IP 位址FindDefenderMachineByIp尋找裝置 ()
列出所有在指定時間戳前後15分鐘內與特定內部IP位址通訊的裝置,以便網路映射與橫向移動分析。
| 參數 | Required? | Description |
|---|---|---|
ipAddress |
Yes | 要搜尋的內部 IP 位址 |
timestamp |
Yes | 定義查詢時段的時間戳記,檢查指定時間前後各 15 分鐘的範圍。 |
列出修復任務 (ListDefenderRemediationActivities)
列出修復任務及其跨裝置執行狀態。 每一項修復活動對應一項安全建議或任務。
| 參數 | Required? | Description |
|---|---|---|
Type |
否 | 修復活動類型 |
machineID |
否 | 受影響裝置的識別碼 |
Status |
否 | 修復任務狀態(待處理或已完成) |
createdTimeFrom |
否 | 回傳此時間戳後建立的任務 |
createdTimeTo |
否 | 回傳在此時間戳之前建立的任務 |
skip |
否 | 從結果集起始跳過指定數量的項目 |
top |
否 | 限制回應中回傳的項目數量 |
獲取詳細的整治任務資訊(GetDefenderRemediationActivity)
獲取詳細的修復任務資訊,包括執行狀態、結果及受影響的裝置。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 整治活動的唯一識別碼 |
列出與使用者帳號相關的安全警示(ListUserRelatedAlerts)
列出與特定使用者帳號相關的所有安全警示。 這些資訊對於以使用者為中心的威脅調查與行為分析至關重要。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 使用者帳號的唯一識別碼 |
列出所有使用者的活躍裝置(ListUserRelatedMachines)
列出所有特定使用者有活躍或近期登入會話的裝置。 使用此工具追蹤使用者活動並分析橫向動態。
| 參數 | Required? | Description |
|---|---|---|
ID |
Yes | 使用者帳號的唯一識別碼 |
列出所有受漏洞影響的裝置(ListDefenderMachinesByVulnerability)
列出所有受特定 CVE 漏洞影響的裝置。 此工具對於補丁管理優先順序至關重要。
| 參數 | Required? | Description |
|---|---|---|
cveID |
Yes | 漏洞的 CVE 識別碼 |
列出影響軟體的漏洞(ListDefenderVulnerabilitiesBySoftware)
列出影響特定裝置軟體的漏洞,以便針對性漏洞評估。
| 參數 | Required? | Description |
|---|---|---|
machineID |
Yes | 裝置的唯一識別碼 |
softwareID |
Yes | 軟體的唯一識別碼 |
範例提示
以下範例提示展示了你可以怎樣運用分類集合:
- 列出我房客最近發生的五起事件,並評估哪一件最緊急需要分流
- 針對特定事件<提供警示>,並分析警示證據中的惡意
- 執行搜尋查詢以確認哪些使用者與 <實體互動>
局限性
- 你不能以其他租戶的訪客身份使用這個集合,也不能以委派權限使用。 你只能在自己的家庭租戶上使用 MCP 伺服器。
- Microsoft Sentinel 使用者無法選擇要使用哪個工作區。
- 你無法在 Microsoft Sentinel 湖中查詢資料。 你可以改用 資料探索工具 。