애플리케이션 또는 플랫폼 카드 무엇인가요?
Microsoft의 애플리케이션 및 플랫폼 카드는 AI 기술의 작동 방식, 애플리케이션 소유자가 애플리케이션 성능 및 동작에 영향을 줄 수 있는 선택 사항, 기술, 사람 및 환경을 포함한 전체 애플리케이션을 고려하는 것의 중요성을 이해하는 데 도움이 되도록 하기 위한 것입니다. 애플리케이션 카드는 AI 애플리케이션용으로 만들어지고 플랫폼 카드는 AI 플랫폼 서비스에 대해 만들어집니다. 이러한 리소스는 자체 애플리케이션의 개발 또는 배포를 지원할 수 있으며 영향을 받는 사용자 또는 이해 관계자와 공유할 수 있습니다.
책임 있는 AI에 대한 노력의 일환으로 Microsoft는 공정성, 안정성 및 안전, 개인 정보 보호 및 보안, 포용성, 투명성 및 책임의 6가지 핵심 원칙을 준수합니다. 이러한 원칙은 책임 있는 AI Standard 포함되며, 이는 AI 애플리케이션을 설계, 빌드 및 테스트하는 팀을 안내합니다. 애플리케이션 및 플랫폼 카드는 기능, 의도된 사용 및 제한 사항에 대한 투명성을 제공하여 이러한 원칙을 운영하는 데 중요한 역할을 합니다. 추가 인사이트를 위해 독자는 Microsoft의 책임 있는 AI 투명성 보고서 와 Microsoft 엔터프라이즈 AI 서비스 행동 강령 (조직용) 또는 Microsoft 서비스 계약(개인용) 의 행동 강령 섹션 을 살펴보는 것이 좋습니다. 이 두 가지 모두 AI에 책임감 있게 참여하는 방법을 간략하게 설명합니다.
개요
Microsoft Sentinel MCP 서버는 MCP(모델 컨텍스트 프로토콜)를 기반으로 빌드된 서버 쪽 애플리케이션입니다. MCP는 AI 언어 모델이 안전하고 구조화되고 상태 저장 방식으로 외부 도구, 메모리 및 컨텍스트와 상호 작용하는 방식을 관리하는 개방형 프로토콜입니다. Microsoft Sentinel MCP 서버는 보안 팀이 AI를 일상적인 보안 작업에 도입할 수 있도록 하는 통합된 호스트된 인터페이스를 제공합니다. ai 모델을 Microsoft Sentinel 데이터 레이크 및 Microsoft Defender 구조화된 보안 데이터와 연결합니다. 분석가는 복잡한 쿼리를 수동으로 작성하는 대신 자연어를 사용하여 보안 데이터를 쿼리, 분석 및 수행할 수 있습니다. 이 접근 방식은 AI 에이전트가 관련 데이터를 검색하고, 엔터티를 분석하고, 보안 실무자를 대신하여 자동화 워크플로를 빌드할 수 있도록 하여 위협 헌팅, 인시던트 심사 및 보안 조사에 대한 장벽을 제거합니다.
이 애플리케이션은 보안 분석가, 보안 연구원, 위협 사냥꾼 및 SOC(보안 운영 센터) 엔지니어를 포함한 엔터프라이즈 보안 팀을 위해 설계되었습니다. 이러한 전문가는 호환되는 AI 기반 클라이언트(예: Visual Studio Code, Microsoft Security Copilot, Microsoft Copilot Studio, Microsoft Foundry, ChatGPT 및 Claude)를 에 연결할 수 있습니다. MCP 서버를 Microsoft Sentinel. 자연어 프롬프트를 사용하여 보안 데이터와 상호 작용할 수 있습니다. 이 방법을 사용하면 코드 우선 통합, 복잡한 데이터 스키마 이해 또는 KQL(올바른 형식의 Kusto 쿼리 언어) 쿼리 작성이 필요하지 않습니다.
자세한 내용은 MCP에 대한 Microsoft Sentinel 지원은 무엇인가요? 및 Microsoft Sentinel MCP 서버 시작을 참조하세요.
주요 용어
다음 표에서는 Microsoft Sentinel MCP 서버와 관련된 주요 용어집을 제공합니다.
| 용어 | 설명 |
|---|---|
| 데이터 레이크 | 대량의 다양한 보안 데이터를 대규모로 수집, 저장 및 분석하는 중앙 집중식 클라우드 네이티브 스토리지 시스템입니다. Microsoft Sentinel 데이터 레이크는 보안 데이터에 대한 비용 효율적인 장기 보존 및 고급 분석을 제공합니다. |
| 엔터티 | 사용자 계정, URL, 도메인, IP 주소, 파일 또는 디바이스와 같은 보안 조사에 관심이 있는 개별 개체입니다. 엔터티 분석은 분석가가 이러한 개체에 대한 위험 및 컨텍스트를 이해하는 데 도움이 됩니다. |
| Kusto 쿼리 언어(KQL) | Microsoft Sentinel 데이터 레이크 및 기타 Azure 데이터 저장소에서 데이터를 검색하고 분석하는 데 사용되는 쿼리 언어입니다. KQL을 사용하면 사용자가 큰 데이터 세트를 필터링, 집계 및 시각화할 수 있습니다. |
| MCP(모델 컨텍스트 프로토콜) | AI 언어 모델이 외부 도구, 메모리 및 컨텍스트와 상호 작용하는 방식을 관리하는 개방형 프로토콜입니다. MCP는 MCP 호스트(AI 애플리케이션), MCP 클라이언트(서버에 대한 연결을 유지 관리) 및 MCP 서버(클라이언트에 컨텍스트 및 도구를 제공)로 구성된 클라이언트-서버 아키텍처를 사용합니다. |
| MCP 클라이언트 | MCP 서버에 대한 연결을 유지하고 사용할 호스트 애플리케이션의 컨텍스트를 검색하는 AI 기반 애플리케이션(예: Visual Studio Code 또는 ChatGPT) 내의 구성 요소입니다. |
| MCP 호스트 | 하나 이상의 MCP 클라이언트를 조정하고 관리하는 AI 애플리케이션입니다. 예를 들어 Visual Studio Code, Microsoft Security Copilot 및 ChatGPT가 있습니다. |
| MCP 서버 | MCP 클라이언트에 대한 컨텍스트, 도구 및 구조적 데이터 액세스를 제공하는 프로그램입니다. Microsoft Sentinel MCP 서버는 인프라 배포가 필요하지 않은 완전히 호스트된 MCP 서버입니다. |
| Microsoft Entra | Microsoft Sentinel MCP 서버에 연결할 때 인증 및 권한 부여에 사용되는 Microsoft의 ID 및 액세스 관리 서비스입니다. |
| Security Copilot | 보안 전문가가 위협을 조사하고 인시던트 심사 및 자동화된 보안 워크플로를 빌드하는 데 도움이 되는 Microsoft Sentinel MCP 도구와 통합되는 Microsoft의 AI 기반 보안 도우미. |
| SOC(Security Operations Center) | 사이버 보안 위협 및 인시던트 모니터링, 검색, 분석 및 대응을 담당하는 organization 내의 중앙 집중식 팀입니다. |
| 도구 컬렉션 | Microsoft Sentinel MCP 서버 내 관련 시나리오 중심 MCP 도구의 논리적 그룹화입니다. 사용 가능한 컬렉션에는 데이터 탐색, 에이전트 만들기 및 심사가 포함됩니다. |
주요 기능 또는 기능
여기에 설명된 주요 기능과 기능은 MCP 서버가 수행하도록 설계된 Microsoft Sentinel 및 지원되는 작업에서 수행하는 방법을 간략하게 설명합니다.
| 기능 | 설명 |
|---|---|
| AI 기반 보안 작업을 위한 통합 호스팅 인터페이스 | Microsoft Sentinel MCP 서버는 완전히 호스트되며 고객의 인프라 배포가 필요하지 않습니다. ID 및 인증에 Microsoft Entra 사용하여 보안 팀이 호환되는 클라이언트를 연결하고 서버 또는 네트워킹 인프라를 관리하지 않고 AI 기반 보안 작업을 즉시 수행할 수 있습니다. |
| 자연어 데이터 탐색 | 데이터 탐색 도구 컬렉션을 사용하면 보안 분석가가 자연어 프롬프트를 사용하여 관련 테이블을 검색하고, 데이터를 검색하고, Microsoft Sentinel 데이터 레이크를 쿼리할 수 있습니다. 이 기능을 사용하면 복잡한 데이터 스키마를 이해하거나 올바른 형식의 KQL 쿼리를 수동으로 작성하여 위협 검색 및 조사를 가속화할 필요가 없습니다. |
| AI 기반 엔터티 분석 | 엔터티 분석기 도구는 AI를 사용하여 인증 패턴, 동작 변칙, 위협 인텔리전스 및 조직 활동 데이터를 추론하여 사용자 계정, URL 및 도메인에 대한 위험을 평가합니다. 단일 작업에서 평결과 자세한 인사이트를 제공하여 엔터티 보강에 전통적으로 필요한 수동 데이터 수집 작업을 제거합니다. |
| 가속화된 보안 에이전트 만들기 | 에이전트 생성 도구 컬렉션을 사용하면 SOC 엔지니어가 자연어로 자동화 의도를 설명하고 올바른 AI 모델 지침 및 도구 구성을 사용하여 Microsoft Security Copilot 에이전트를 신속하게 빌드할 수 있습니다. 이 기능은 일반적으로 보안 플레이북을 수동으로 자동화하는 데 필요한 몇 주 동안의 노력을 크게 줄입니다. |
| 인시던트 심사 및 위협 헌팅 | 심사 도구 컬렉션은 AI 모델을 Microsoft Defender API와 통합하여 신속한 인시던트 우선 순위 지정 및 사전 위협 헌팅을 지원합니다. 분석가는 인시던트, 경고, 증거 및 엔터티 데이터를 가져오고 자연어 프롬프트를 통해 고급 헌팅 쿼리를 실행하여 평균 해결 시간, 위험 노출 및 체류 시간을 줄일 수 있습니다. |
| 사용자 지정 MCP 도구 만들기 | 보안 팀은 고급 헌팅에서 사용자 지정 MCP 도구로 자체 KQL 쿼리를 저장하여 AI 에이전트가 액세스할 수 있는 데이터에 대한 세부적인 제어를 통해 결정적 에이전트 워크플로를 사용하도록 설정할 수 있습니다. 이러한 확장성을 통해 조직은 고유한 보안 프로세스에 맞게 서버를 조정할 수 있습니다. |
| 비용 효율적이며 컨텍스트가 풍부한 데이터 통합 | Microsoft Sentinel MCP 서버는 기본적으로 최대 12년 동안 비용 효율적인 장기 보안 데이터 보존을 제공하는 Microsoft Sentinel 데이터 레이크와 통합됩니다. 이 기능을 사용하면 보안 팀이 데이터 범위와 비용 중에서 선택할 필요 없이 포괄적인 보안 컨텍스트를 빌드할 수 있습니다. |
| 다중 플랫폼 호환성 | Microsoft Sentinel MCP 서버는 Visual Studio Code, Microsoft Security Copilot, Microsoft Copilot Studio, Microsoft Foundry, ChatGPT(OpenAI별)를 비롯한 여러 AI 기반 클라이언트 및 자동화 플랫폼에서 작동합니다. Claude(Anthropic 기준) 및 Azure Logic Apps. |
의도한 용도
Microsoft Sentinel MCP 서버는 다양한 산업의 여러 시나리오에서 사용할 수 있습니다. 사용 사례의 몇 가지 예는 다음과 같습니다.
장기 보안 데이터의 대화형 탐색: 보안 분석가 및 위협 사냥꾼은 자연어 프롬프트를 사용하여 테이블 이름을 기억하거나 스키마를 이해하거나 KQL 쿼리를 작성할 필요 없이 Microsoft Sentinel 데이터 레이크의 테이블에서 관련 데이터를 검색하고 검색할 수 있습니다. 예를 들어 ID 기반 공격을 조사하는 분석가는 파일 활동을 민감도 레이블과 상호 연결하여 원래 보존 기간 동안 눈에 띄지 않았을 수 있는 데이터 반출, 정책 위반 또는 의심스러운 사용자 동작의 징후를 발견할 수 있습니다. 이 대화형 접근 방식은 수동 쿼리 공식화에 대한 의존도를 줄이면서 위협 검색 및 조사를 가속화합니다.
조사 중에 자동화된 엔터티 분석: SOC 엔지니어와 분석가는 엔터티 분석기 도구를 사용하여 모든 organization 보안 데이터에서 URL, 사용자 및 도메인과 같은 엔터티를 분석하고 심사할 수 있습니다. 이 도구는 포괄적인 평결과 분석을 검색, 추론 및 명확하게 제시하므로 전통적으로 수동 컨텍스트 수집 작업을 쉽게 자동화할 수 있습니다. 이렇게 하면 응답 시간이 줄어들고 자동화된 인시던트 보강을 위해 Azure Logic Apps 플레이북에 통합할 수 있습니다.
자연어를 통해 Security Copilot 에이전트 빌드: SOC 엔지니어는 자연어로 자동화 의도를 설명하여 보안 데이터를 추론하는 올바른 AI 모델 지침 및 도구를 사용하여 Security Copilot 에이전트를 신속하게 빌드할 수 있습니다. 예를 들어 엔지니어는 Microsoft Defender, Microsoft Purview 및 Microsoft Sentinel 인시던트에서 포괄적인 인시던트 후 보고서를 생성하는 에이전트를 만들고 실행 가능한 수정 단계를 사용하여 요약, 인사이트, 엔터티 및 경고를 집계할 수 있습니다.
신속한 인시던트 심사 및 위협 헌팅: 보안 팀은 플랫폼 및 도구 간의 상호 운용성에 대해 걱정하지 않고 인시던트 우선 순위를 지정하고 조직 데이터보다 헌팅해야 합니다. 심사 컬렉션은 AI 모델을 API와 통합하여 인시던트, 경고, 증거 및 엔터티를 가져오고 고급 헌팅 쿼리를 실행합니다. 이렇게 하면 평균 해결 시간, 위험 노출 및 체류 시간이 줄어들고 팀이 더 빠른 의사 결정을 위해 AI를 사용할 수 있습니다.
보안 자동화를 위한 사용자 지정 결정적 워크플로: 보안 팀은 고급 헌팅에서 저장된 KQL 쿼리에서 사용자 지정 MCP 도구를 만들 수 있으므로 에이전트는 organization 프로세스와 관련된 특정 데이터를 검색하고 추론할 수 있습니다. 이를 통해 팀은 AI 에이전트가 액세스할 수 있는 데이터에 대한 세부적인 제어를 제공하고 예측 가능하고 반복 가능한 에이전트 워크플로를 만듭니다.
모델 및 학습 데이터
Microsoft Sentinel MCP 서버는 다양한 AI 모델을 활용하여 사용자에게 표시되는 환경을 지원합니다. 서버 자체는 모델과 무관하며, AI 모델이 MCP 프로토콜을 통해 사용하는 도구와 구조화된 데이터 액세스를 제공합니다. 사용되는 AI 모델은 서버에 연결하는 클라이언트 애플리케이션에 따라 달라집니다. 몇 가지 예로는 GPT-4o 및 기타 Azure OpenAI 서비스 모델, Claude Sonnet(GitHub Copilot 또는 Claude 클라이언트에서 Visual Studio Code 사용하는 경우) 및 을 통해 사용할 수 있는 모델이 있습니다.Microsoft Security Copilot. Microsoft Sentinel MCP 서버 뒤에서 기본 모델을 학습하는 데 사용되는 데이터에 대해 자세히 알아보려면 연결된 모델 카드를 참조하여 관련 데이터 카드를 찾습니다.
성능
Microsoft Sentinel MCP 서버는 Microsoft Sentinel 데이터 레이크 및 Microsoft Defender 구조화된 테이블 형식 데이터에 액세스해야 하는 보안 중심 워크플로에 사용할 때 안정적으로 수행되도록 설계되었습니다. 서버는 연결된 클라이언트에서 실행되는 AI 모델이 자연어 프롬프트를 보내고 MCP 도구가 구조화된 보안 데이터를 검색, 처리 및 반환하는 클라이언트-서버 아키텍처 내에서 작동합니다. 의도된 입력은 보안 조사 요청, 테이블 검색, 엔터티 분석 작업 또는 에이전트 만들기 지침을 설명하는 자연어 텍스트 프롬프트입니다. 예상 출력은 테이블 스키마, KQL 쿼리 결과, 엔터티 평결 및 분석, 인시던트 및 경고 세부 정보, 에이전트 구성 YAML을 포함한 구조화된 데이터 결과입니다.
서버의 성능은 연결된 클라이언트의 올바른 구성, Microsoft Sentinel 데이터 레이크에 대한 적절한 온보딩 및 관련 Microsoft Defender 제품, 기본 보안 데이터의 가용성 및 최신성에 따라 달라집니다. 각 도구 컬렉션에는 특정 제품 필수 구성 요소가 있습니다. 예를 들어 심사 컬렉션에는 defender 포털에 온보딩된 Microsoft Defender XDR, 엔드포인트용 Microsoft Defender 또는 Microsoft Sentinel 필요하지만 에이전트 생성 컬렉션은 필요합니다. Microsoft Security Copilot. 엔터티 분석기 도구는 결과를 생성하고 정확도를 보장하기 위해 사용자 엔터티에 대해 최대 7일의 분석 기간을 지원하는 데 몇 분이 필요할 수 있습니다.
Microsoft Sentinel MCP 서버는 영어 프롬프트만 지원합니다. 최적의 성능을 위해 다음과 같은 국가 및 지역에 위치한 고객은 오스트레일리아, 캐나다, 유럽, 인도, 일본, 노르웨이, 동남 아시아, 스위스, 영국 및 미국 도구를 사용할 수 있습니다. 특정 할당량 및 제한은 120초 MCP 스트리밍 제한, 데이터 레이크 도구에 대한 800자 쿼리 창, 엔터티 분석기 처리량 제한(시간당 200회 실행, 테넌트당 하루 500회 실행)을 포함하여 각 도구 컬렉션에 적용됩니다. 일반 API 제한 및 고급 헌팅 할당량이 심사 도구 컬렉션에 적용됩니다.
제한 사항
MCP 서버의 제한 사항을 Microsoft Sentinel 이해하는 것은 안전하고 효과적인 경계 내에서 사용되는지 확인하는 데 중요합니다. 고객이 혁신적인 솔루션이나 애플리케이션에서 Microsoft Sentinel MCP 서버를 사용하도록 권장하지만, Microsoft Sentinel MCP 서버는 가능한 모든 시나리오에 맞게 설계되지 않았다는 점에 유의해야 합니다. 사용자는 Microsoft Enterprise AI Services 사용 규정 (조직용) 또는 Microsoft 서비스 계약(개인용) 의 행동 강령 섹션 과 사용 사례를 선택할 때 다음 고려 사항을 참조하는 것이 좋습니다.
도메인별 scope: Microsoft Sentinel MCP 서버는 Microsoft Sentinel 데이터 레이크 및 Microsoft Defender 보안 데이터와 관련된 쿼리 및 작업만 지원합니다. 범용 질문, 비보안 데이터 분석 또는 위협 헌팅 및 인시던트 대응과 관련이 없는 작업 등 이 도메인 외부의 프롬프트 빈 응답, 무관 또는 부정확한 응답을 초래할 수 있습니다. 사용자는 범용 AI 도우미 의존해서는 안 됩니다.
영어 전용 언어 지원: Microsoft Sentinel MCP 서버가 개발되어 영어 프롬프트에 대해서만 평가되었습니다. 다른 언어로 프롬프트를 사용하면 성능 저하, 부정확한 도구 선택 또는 불완전한 결과가 발생할 수 있습니다. 사용자는 의도한 언어 scope 외부에서 작동할 때 주의를 기울여야 합니다.
데이터 새로 고침 종속성: MCP 도구의 결과는 Microsoft Sentinel 데이터 레이크에 있는 데이터의 현재 상태에 따라 달라집니다. 데이터가 오래되었거나 불완전하거나 아직 수집되지 않은 경우 응답이 제한되거나 부정확할 수 있습니다. 사용자는 중요한 보안 결정에 대한 결과에 의존하기 전에 데이터 커넥터가 올바르게 구성되고 데이터 수집이 최신 상태인지 확인해야 합니다.
플러그 인 및 클라이언트 구성 종속성: MCP 서버를 사용하는 도구는 올바른 플러그 인, 데이터 원본 및 작업 영역에 액세스하도록 올바르게 구성되어야 합니다. 잘못된 작업 영역 ID를 사용하거나, 호환되지 않는 클라이언트 버전과 연결하거나, 필요한 보안 판독기 역할이 없는 등의 잘못된 구성으로 인해 도구 호출이 실패하거나 결과가 누락될 수 있습니다. 사용자는 문서화된 설정 및 문제 해결 지침을 따라야 합니다.
엔터티 분석기 제약 조건: 사용자 엔터티 분석기(
analyze_user_entity)는 Microsoft Entra 개체 ID 폼 팩터가 있는 사용자만 지원합니다. 온-프레미스 Active Directory 전용 사용자는 지원되지 않습니다. 또한 사용자 분석기는 데이터 레이크에 특정 테이블(AlertEvidence,SigninLogs, ,CloudAppEventsIdentityInfo)이 있어야 합니다. 누락된 테이블은 분석의 정확도를 줄이거나 오류를 생성합니다. 엔터티 분석기에도 동시성 제한 및 결과 만료(1시간)가 있으므로 만료 후 새 쿼리가 필요합니다.지역 가용성: Microsoft Sentinel MCP 서버는 특정 지역(오스트레일리아, 캐나다, 유럽, 인도, 일본, 노르웨이, 동남 아시아, 스위스, 영국 및 미국)의 고객에게 최적화되어 있습니다. 이러한 지역 외부의 성능은 기대에 미치지 못할 수 있습니다.
모델 종속 출력 품질: Microsoft Sentinel MCP 서버는 모델에 구애받지 않으므로 최종 출력의 품질과 정확도는 연결된 클라이언트에 사용되는 AI 모델에 따라 달라집니다. 일부 모델은 대규모 도구 조합에 대해 효과적으로 추론하지 않거나 덜 정확한 KQL 쿼리를 생성할 수 있습니다. 사용자는 최상의 성능을 위해 최신 추론 모델을 선택해야 합니다.
특정 기능의 시험판 상태: 일부 도구 컬렉션(예: 심사 및 사용자 지정 도구)은 미리 보기로 제공됩니다. 이러한 기능은 일반 공급 전에 크게 수정될 수 있습니다. Microsoft는 시험판 정보와 관련하여 명시되거나 묵시적인 보증을 하지 않습니다.
평가
Microsoft Sentinel MCP는 Microsoft Security Graph 배포 프로세스에 통합된 자동화된 검사를 통해 평가됩니다. 이러한 평가는 출시 전에 서비스 안정성, 정확성 및 안전을 평가하기 위해 모든 배포의 일부로 실행됩니다.
이 프로세스의 일부로 Microsoft Sentinel MCP는 배포 게이트 역할을 하는 자동화된 정적 평가를 거칩니다. 이러한 평가는 지원되는 보안 조사 워크플로에 영향을 미칠 수 있는 회귀를 감지하기 위해 도구 호출 및 실행 파일 출력을 포함하여 MCP 도구 및 오케스트레이션 논리의 올바른 작업의 유효성을 검사합니다.
Microsoft Sentinel MCP는 의미 체계 테이블 검색, 쿼리 실행 및 다단계 도구 오케스트레이션과 같은 일반적인 도구 기반 워크플로에서 올바른 엔드투엔드 동작을 보장하기 위해 대표적인 보안 조사 시나리오에 대해 유효성을 검사합니다.
평가는 완전히 자동화되고 배포 전체에서 일관되게 적용됩니다. Microsoft Sentinel MCP는 독립 실행형 수동 채점 또는 임시 평가 프로세스에 의존하지 않습니다. 안전 및 품질은 주로 자동화된 평가, 도구 접지, 역할 기반 액세스 제어 및 모니터링된 배포 사례를 통해 적용됩니다.
안전 구성 요소 및 완화
Microsoft Entra 인증 및 역할 기반 액세스 제어: Microsoft Sentinel MCP 서버에는 Microsoft Entra 통해 인증이 필요하므로 권한 있는 사용자만 도구 및 데이터에 액세스할 수 있습니다. 사용자는 도구를 나열하고 호출하려면 최소한 보안 읽기 권한자 역할이 있어야 합니다. 심사 컬렉션은 기존 권한을 적용합니다. 즉, 사용자는 자신의 역할이 부여하는 데이터에만 액세스할 수 있습니다. 이렇게 하면 무단 데이터 액세스를 방지하고 최소 권한 원칙을 적용합니다.
도메인 범위 도구 디자인: MCP 도구는 보안 작업을 위해 특별히 제작되었으며 데이터 레이크 및 Microsoft Defender 데이터를 Microsoft Sentinel 전용으로 범위가 지정됩니다. 이 디자인은 도구가 보안 도메인 외부의 범용 데이터 액세스 또는 작업에 사용되지 않도록 하여 공격 노출 영역을 제한합니다. 도구 설명은 AI 모델을 적절한 도구 선택으로 안내하기 위해 보안에 최적화되어 있습니다.
구조화된 시나리오 중심 도구 컬렉션: 도구는 보안 최적화 설명이 포함된 논리적 시나리오 중심 컬렉션(데이터 탐색, 에이전트 만들기, 심사)으로 구성됩니다. 이렇게 하면 AI 모델이 특정 작업에 적합한 도구를 올바르게 식별하고 선택하여 잘못되거나 의도하지 않은 도구 호출의 위험을 줄일 수 있습니다.
유해한 콘텐츠 주석 및 모니터링: Microsoft Sentinel MCP 서버는 유해한 콘텐츠 주석과 운영 모니터링을 안전 시스템의 일부로 통합합니다. 이러한 구성 요소는 애플리케이션이 부적절하거나 유해하거나 토픽이 없는 콘텐츠를 생성할 수 있는 인스턴스를 감지하고 완화하도록 설계되었습니다.
초대 전용 초기 액세스 및 반복적인 개선 사항: 미리 보기 기능의 경우 Microsoft는 초대 전용 초기 액세스 모델을 사용하여 광범위한 가용성 전에 사용자 피드백을 수집합니다. 이 접근 방식을 통해 팀은 일반 릴리스 전에 제어된 환경에서 안전 및 성능 문제를 식별하고 해결할 수 있습니다.
쿼리 및 속도 제한: 서버는 남용, 과도한 리소스 사용 및 서비스 거부 시나리오를 방지하기 위해 특정 할당량 및 속도 제한(예: 120초 스트리밍 제한, 800자 쿼리 창 및 엔터티 분석기 실행 제한)을 적용합니다. 이러한 제한은 서비스를 안정적으로 유지하고 모든 사용자가 사용할 수 있도록 합니다.
테넌트 격리 및 다중 테넌트 컨트롤: 데이터 액세스 범위는 각 고객의 테넌트 및 작업 영역으로 지정됩니다. 서버는 테넌트별 헤더를 통해 다중 테넌트 구성을 지원하여 한 organization 데이터에 다른 organization 액세스할 수 없도록 합니다.
휴먼 인 더 루프 디자인: Microsoft Sentinel MCP 서버는 인간을 보안 의사 결정의 중심에 두도록 설계되었습니다. 이 도구는 AI에서 생성된 인사이트, 권장 사항 및 평결을 제공하지만, 보안 분석가는 모든 출력을 검토하고 유효성을 검사한 후 이에 대한 조치를 수행해야 합니다. 이 디자인은 책임 있는 사용을 장려하고 자동화된 오류의 위험을 줄여 보안 결과를 저하시킵니다.
Microsoft Sentinel MCP 서버 배포 및 채택에 대한 모범 사례
책임 있는 AI는 Microsoft와 고객 간의 공유된 약속입니다. Microsoft는 보안, 공정성 및 투명성을 핵심으로 AI 애플리케이션을 빌드하지만 고객은 자체 컨텍스트 내에서 이러한 기술을 책임감 있게 배포하고 사용하는 데 중요한 역할을 합니다. 이 파트너십을 지원하기 위해 고객이 책임 있는 AI를 효과적으로 구현할 수 있도록 배포자와 최종 사용자를 위한 다음과 같은 모범 사례를 제공합니다.
배포자 및 최종 사용자는 다음을 수행해야 합니다.
결과적 결정이나 민감한 도메인에서 Microsoft Sentinel MCP 서버를 사용할 때 주의하고 결과를 평가합니다. 결과적 결정은 교육, 고용, 금융 플랫폼, 정부 혜택, 의료, 주택, 보험, 법적 플랫폼에 대한 개인의 접근에 법적 또는 중대한 영향을 미칠 수 있거나 신체적, 심리적 또는 재정적 피해를 초래할 수 있는 결정입니다. 금융 플랫폼, 의료 및 주택과 같은 민감한 도메인은 다른 그룹의 사람들에게 불균형적으로 영향을 미칠 수 있기 때문에 특별한 주의가 필요합니다. 이러한 영역에서 결정에 AI를 사용하는 경우 영향을 받는 이해 관계자가 의사 결정 방법을 이해하고, 결정에 이의를 제기하고, 관련 입력 데이터를 업데이트할 수 있는지 확인합니다.
법률 및 규제 고려 사항을 평가합니다. 고객은 모든 업계 또는 시나리오에서 사용하기에 적합하지 않을 수 있는 AI 플랫폼 및 솔루션을 사용할 때 잠재적인 특정 법률 및 규제 의무를 평가해야 합니다. 또한 AI 플랫폼 또는 솔루션은 용으로 설계되지 않았으며 해당 서비스 약관 및 관련 행동 강령에서 금지된 방식으로 사용되지 않을 수 있습니다.
최종 사용자는 다음을 수행해야 합니다.
적절한 경우 사용자 감독을 수행합니다. 인간 감독은 AI 애플리케이션과 상호 작용할 때 중요한 보호 장치입니다. AI 애플리케이션을 지속적으로 개선하는 동안 AI는 여전히 실수를 할 수 있습니다. 생성된 출력은 부정확하거나, 불완전하거나, 편향되거나, 잘못 정렬되거나, 의도한 목표와 관련이 없을 수 있습니다. 이는 입력의 모호성 또는 기본 모델의 제한 사항과 같은 다양한 이유로 인해 발생할 수 있습니다. 따라서 사용자는 Microsoft Sentinel MCP 서버에서 생성된 응답을 검토하고 예상 및 요구 사항과 일치하는지 확인해야 합니다.
지나친 의존의 위험에 유의하세요. AI에 대한 지나친 의존은 사용자가 올바르지 않거나 불완전한 AI 출력을 수락할 때 발생합니다. 주로 AI 출력의 실수를 감지하기 어려울 수 있기 때문입니다. 최종 사용자의 경우, 지나친 의존으로 인해 생산성 저하, 신뢰 상실, 신청 중단, 재정적 손실, 심리적 피해, 신체적 피해 등이 발생할 수 있습니다. Microsoft Sentinel MCP 서버의 컨텍스트에서 지나친 의존으로 인해 분석가가 적절한 확인 없이 잘못된 위협 평가, 잘못 분류된 엔터티 또는 조작된 쿼리 결과에 대해 작업하도록 유도할 수 있으며, 이로 인해 누락된 위협 또는 잘못된 인시던트 대응 작업이 발생할 수 있습니다.
중요한 도메인에서 에이전트 AI를 디자인할 때 주의해야 합니다. 사용자는 에이전트 작업이 되돌릴 수 없거나 매우 결과적인 중요한 도메인에 에이전트 AI 애플리케이션을 디자인하거나 배포할 때 주의를 기울여야 합니다. Microsoft 엔터프라이즈 AI 서비스 행동 강령(조직용) 또는 Microsoft 서비스 계약(개인용)의 행동 강령 섹션에 자세히 설명된 대로 자율 에이전트 AI를 만들 때 추가적인 예방 조치를 취합니다.
특정하고 자세한 프롬프트를 작성합니다. 좋은 프롬프트는 좋은 결과를 제공합니다. 프롬프트가 느린 응답 또는 근거 없는 출력을 생성하는 경우 보다 구체적인 프롬프트를 작성해 보세요. 예를 들어 "사용자 <UPN>의 경우 90일 동안 네트워크, 파일, 로그인 및 디바이스 이벤트를 기준으로 하고 +/- 10분과 비교하여 이 경고의 심각도 및 우선 순위를 심사하는 데 도움이 되는 변칙 또는 의심스러운 활동을 찾는 데 도움이 되는 프롬프트는 "UPN>에 대해 <위험한 것은 무엇인가?"보다 훨씬 더 효과적입니다.
여러 환경으로 작업할 때 작업 영역을 지정합니다. 여러 Microsoft Sentinel 데이터 레이크 작업 영역으로 작업하는 경우 도구를 작동할 작업 영역 ID에 대해 구체적으로 설명합니다.
list_sentinel_workspaces도구를 사용하여 사용 가능한 작업 영역을 식별하고 프롬프트에 작업 영역 ID를 포함하여 일관된 결과를 보장합니다.애플리케이션을 개선하는 데 도움이 되는 피드백을 제공합니다. Microsoft는 문제를 식별하고 해결하는 데 도움이 되는 Microsoft Sentinel MCP 서버에 대한 사용자 피드백을 환영합니다. 사용자는 Microsoft 계정 담당자 또는 표준 Microsoft 지원 채널을 통해 피드백을 제출할 수 있습니다.
배포자는 다음을 수행해야 합니다.
적절한 온보딩 및 필수 구성 요소를 확인합니다. Microsoft Sentinel MCP 서버를 배포하기 전에 organization Microsoft Sentinel 데이터 레이크, 필요한 Microsoft Defender 제품 및 (해당하는 경우)에 온보딩되었는지 확인합니다. Microsoft Security Copilot. 사용자에게 적절한 역할(최소한 보안 판독기)이 있고 데이터 커넥터가 도구가 추론할 수 있도록 신선하고 완전한 데이터를 제공하도록 올바르게 구성되어 있는지 확인합니다.
MCP 클라이언트를 호환하고 최신 상태로 유지: MICROSOFT SENTINEL MCP 서버는 MCP의 최신 권한 부여 사양을 구현합니다. 연결 및 인증 문제를 방지하기 위해 연결된 클라이언트(Visual Studio Code, Security Copilot, Copilot Studio, Foundry, ChatGPT 또는 Claude)가 최신 버전으로 업데이트되었는지 확인합니다.
보안 요구 사항에 맞게 도구 컬렉션을 구성합니다. organization 워크플로와 관련된 도구 컬렉션만 배포합니다. 사용자 지정 MCP 도구를 사용하여 데이터 에이전트가 액세스할 수 있는 항목을 정확하게 규정하여 세부적인 데이터 제어를 사용하여 결정적 워크플로를 적용합니다. 이를 통해 예측 가능하고 감사 가능한 보안 자동화 환경을 유지할 수 있습니다.
사용량 모니터링 및 감사: Microsoft Sentinel 데이터 레이크의 감사 기능을 사용하여 도구 사용량, 데이터 액세스 및 쿼리 이벤트를 추적합니다. 정기적으로 감사 로그를 검토하여 비정상적인 사용 패턴 또는 무단 액세스 시도를 검색합니다. 예측 가능한 문제를 신속하게 resolve 문제 해결 가이드를 팀에 숙지합니다.
광범위한 배포 전에 제어된 환경에서 테스트: 먼저 제어된 환경에서 초대 전용 초기 액세스 및 미리 보기 기능을 사용하여 대표적인 프롬프트 및 데이터를 사용하여 테스트합니다. 광범위한 액세스를 사용하도록 설정하기 전에 도구 출력이 organization 정확도 및 성능 표준을 충족하는지 확인합니다.
속도 제한 및 동시성을 적절하게 구성합니다. 엔터티 분석기 도구(특히 For Each 루프가 있는 Azure Logic Apps)에서 엔터티 분석기 도구를 사용하는 경우 동시성 제어를 사용하도록 설정하고 낮은 수준의 병렬 처리량(예: 5)으로 시작하여 시간 제한을 방지하고 엔터티 분석기의 처리량 제한을 초과하지 않도록 합니다. organization 사용 패턴에 따라 필요에 따라 조정합니다.
지역별 가용성 계획: 최적의 성능을 위해 지원되는 지역(오스트레일리아, 캐나다, 유럽, 인도, 일본, 노르웨이, 동남 아시아, 스위스, 영국 및 미국)에 있는 팀의 Microsoft Sentinel MCP 서버를 배포합니다. 다른 지역의 사용자에게 잠재적인 성능 제한 사항에 대해 경고합니다.
MICROSOFT SENTINEL MCP 서버에 대해 자세히 알아보기
자세한 지침 또는 Microsoft Sentinel MCP 서버의 책임 있는 사용에 대한 자세한 내용은 다음 설명서를 검토하는 것이 좋습니다.
- MCP에 대한 Microsoft Sentinel 지원은 무엇인가요?
- Microsoft Sentinel MCP 서버 시작
- Microsoft Sentinel MCP 서버의 도구 컬렉션
- MCP 서버 가격 책정, 제한 및 가용성 Microsoft Sentinel
- MICROSOFT SENTINEL MCP 도구 수집 모범 사례 및 문제 해결
- Microsoft Sentinel이란?