이 문서에서는 Microsoft Sentinel MCP(모델 컨텍스트 프로토콜) 보안 도구 컬렉션을 설정하고 사용하여 보안 데이터에 대해 자연어 쿼리를 사용하도록 설정하는 방법을 보여 줍니다. MCP에 대한 Sentinel 지원을 통해 보안 팀은 AI 모델이 표준 방식으로 보안 데이터에 액세스할 수 있도록 허용하여 AI를 보안 작업에 도입할 수 있습니다. Microsoft Sentinel 통합 MCP 서버 내에서 AI를 사용하는 방법에 대한 자세한 내용은 애플리케이션 카드: Microsoft Sentinel MCP 서버를 참조하세요.
Sentinel 보안 도구 컬렉션은 여러 클라이언트 및 자동화 플랫폼에서 작동합니다. 이러한 도구를 사용하여 관련 테이블을 검색하고 데이터를 검색하고, 엔터티를 분석하고, 인시던트 심사, 위협 찾기 및 기타 작업을 수행할 수 있습니다.
필수 구성 요소
Microsoft Sentinel MCP 서버의 대부분의 도구는 이를 사용하려면 Microsoft Sentinel 데이터 레이크에 온보딩해야 합니다.
다른 도구는 다음 제품 중 하나 이상에 온보딩해야 할 수도 있습니다.
- Microsoft Defender 포털에서 Microsoft Sentinel
- Microsoft Defender XDR 또는 엔드포인트용 Microsoft Defender
- Microsoft Security Copilot
도구 컬렉션의 특정 제품 필수 구성 요소에 대한 자세한 내용은 해당 문서를 참조하세요.
또한 SENTINEL MCP 도구 컬렉션을 나열하고 호출하려면 보안 읽기 권한자 역할이 필요합니다. 심사 도구 컬렉션을 사용하면 기존 사용 권한이 부여한 모든 도구를 사용할 수 있습니다.
Microsoft Sentinel MCP 도구 컬렉션 추가
Microsoft Sentinel MCP 도구 컬렉션을 추가하는 방법에 대한 자세한 내용은 다음 AI 기반 코드 편집기 및 에이전트 빌드 플랫폼에 대한 문서를 참조하세요.
샘플 프롬프트를 사용하여 추가된 도구 테스트
Microsoft Sentinel 도구 컬렉션을 추가한 후 다음 샘플 프롬프트를 사용하여 Microsoft Sentinel 데이터 레이크의 데이터와 상호 작용합니다.
- 위험에 처한 상위 3명의 사용자를 찾고 위험에 처한 이유를 설명합니다.
- 지난 24시간 동안의 로그인 실패를 찾고 주요 결과에 대한 간략한 요약을 제공합니다.
- 미해결 수의 나가는 네트워크 연결을 보여 준 디바이스를 식별합니다.
- 사용자 <사용자 개체 ID> 가 손상되었는지 이해합니다.
- 지난 7일 동안 암호 스프레이 경고가 있는 사용자를 조사하고 손상된 사용자가 있는지 알려주세요.
- 위협 분석 보고서에서> 모든 URL IOC를 찾아 분석하여 Microsoft에서 <알고 있는 모든 것을 알려줍니다.
에이전트가 이러한 프롬프트에 응답하기 위해 이러한 도구를 호출하는 방법을 이해하려면 Microsoft Sentinel MCP 도구가 에이전트와 함께 작동하는 방법을 참조하세요.
MICROSOFT SENTINEL MCP 도구 액세스 끄기
Microsoft Sentinel MCP 도구 컬렉션에 대한 액세스를 해제하려면 고객 지원에 문의하세요.