Microsoft Sentinel MCP (預覽版)
來自 Microsoft Sentinel MCP 伺服器的這一系列工具可讓您的劇本推理全面的安全性數據,從而實現強大且靈活的 SOC 自動化。
此連接器適用於以下產品和區域:
| 服務 | Class | Regions |
|---|---|---|
| 副駕駛工作室 | 進階 | 除下列區域外的所有 Power Automate 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| 邏輯應用程式 | 標準 | 所有 Logic Apps 區域, 但下列區域除外: - Azure Government 區域 - Azure 中國區域 - 美國國防部 (DoD) |
| Power Apps | 進階 | 除下列區域外的所有 Power Apps 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| Power Automate(自動化服務) | 進階 | 除下列區域外的所有 Power Automate 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| 連絡人 | |
|---|---|
| 名稱 | Microsoft |
| URL | https://support.microsoft.com |
| 連接器中繼資料 | |
|---|---|
| Publisher | Microsoft |
| 網站 | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-overview |
| 隱私策略 | https://privacy.microsoft.com |
| 類別 | 安全性 |
先決條件
Sentinel Workspace ID
支援的作業
實體分析器
根據貴組織近期活動、盛行率及相關威脅情報,為實體(例如網址、使用者等)產生風險評估。
取得憑證
詳細的權限說明請參見: https://learn.microsoft.com/en-us/azure/sentinel/roles#roles-and-permissions-for-the-microsoft-sentinel-data-lake-preview。 此工具需要安全閱讀器角色。 支援以下存取模式:
恩特拉·艾德
代表登入使用者執行作業。
管理式識別
代表 Logic Apps 受控識別執行作業。
建立連線
連接器支援下列驗證類型:
| Logic Apps 受控識別 | 使用受控識別建立連線 | 僅限 LOGICAPPS | 不可共享 |
| Microsoft Entra ID 整合式 | 使用 Microsoft Entra ID 來存取 | 所有區域 | 不可共享 |
| 服務主體帳戶驗證 | 使用 Microsoft Entra ID 應用程式進行服務主體驗證 | 所有區域 | 不可共享 |
| 預設值 [已棄用] | 此選項僅適用於沒有明確驗證類型的舊連線,並且僅用於回溯相容性。 | 所有區域 | 不可共享 |
Logic Apps 受控識別
驗證 ID:managedIdentityAuth
適用:僅限 LOGICAPPS
使用受控識別建立連線
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
| 名稱 | 類型 | Description | 為必填項目 |
|---|---|---|---|
| 管理式識別 | managedIdentity | 使用受控識別登入 | 對 |
Microsoft Entra ID 整合
驗證識別碼:tokenBasedAuth
適用:所有地區
使用 Microsoft Entra ID 來存取
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
服務主體帳戶驗證
驗證識別碼:servicePrincipalAuth
適用:所有地區
使用 Microsoft Entra ID 應用程式進行服務主體驗證
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
| 名稱 | 類型 | Description | 為必填項目 |
|---|---|---|---|
| 用戶端識別碼 | 字串 | 對 | |
| 客戶端密碼 | securestring | 對 | |
| 租戶識別碼 | 字串 | 對 |
預設值 [已棄用]
適用:所有地區
此選項僅適用於沒有明確驗證類型的舊連線,並且僅用於回溯相容性。
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
節流限制
| 名稱 | 呼叫 | 續約期間 |
|---|---|---|
| 每個連線的 API 呼叫 | 100 | 60 秒 |
動作
| Microsoft Sentinel - 資料探索 MCP 伺服器 |
Microsoft Sentinel 模型內容通訊協定 (MCP) 伺服器中的資料探索工具集合可讓您搜尋相關資料表,並使用自然語言從 Microsoft Sentinel 的資料湖擷取資料。 深入了解:https://aka.ms/mcp/data-exploration |
| 實體分析器 |
根據貴組織近期活動、盛行率及相關威脅情報,為實體(例如網址、使用者等)產生風險評估。 |
Microsoft Sentinel - 資料探索 MCP 伺服器
Microsoft Sentinel 模型內容通訊協定 (MCP) 伺服器中的資料探索工具集合可讓您搜尋相關資料表,並使用自然語言從 Microsoft Sentinel 的資料湖擷取資料。 深入了解:https://aka.ms/mcp/data-exploration
實體分析器
根據貴組織近期活動、盛行率及相關威脅情報,為實體(例如網址、使用者等)產生風險評估。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
工作區識別碼
|
workspaceId | True | uuid |
工作區識別碼 |
|
回顧日子
|
lookBackDays | True | integer |
回顧分析的天數 |
|
屬性
|
properties | True | object |
屬性 |
傳回
- response
- AnalyzeEntityResponse
定義
分析實體回應
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
地位
|
status | string |
分析的狀態。 URL 的範例值包括「執行中」、「完成中」或「錯誤處理」。 |
|
Classification
|
classification | string |
實體的判決。 網址的範例值包括「惡意」、「可疑」或「未知」。 |
|
分析
|
analysis | string |
與實體相關的分析,提供判決的依據,以及基於貴組織中盛行率與活動的額外背景。 |
|
Recommendation
|
recommendation | string |
根據判決,建議下一步對該實體採取行動。 |
|
Disclaimer
|
disclaimer | string |
關於實體及其分析結果的重要說明。 |
|
屬性
|
properties | object |
輸入的實體類型 |
|
資料來源列表
|
dataSourceList | array of string |
分析中使用的資料來源列表 |