Microsoft의 보안 플랫폼인 Microsoft Sentinel MCP(모델 컨텍스트 프로토콜)에 대한 지원을 소개합니다. 이 지원에는 통합 서버 인터페이스를 통한 여러 시나리오 중심 보안 도구 컬렉션이 포함됩니다. 이 지원을 사용하면 자연어로 보안 데이터를 대화형으로 쿼리하고 복잡한 자동화를 수행할 수 있는 효과적인 보안 에이전트를 빌드할 수 있습니다. 이 보안 도구 컬렉션은 보안 팀이 AI를 일상적인 보안 작업에 도입하여 데이터 탐색, 에이전트 자동화 빌드, 인시던트 심사 및 위협 헌팅과 같은 일반적인 작업을 지원하는 데 도움이 됩니다.
MCP에 대한 Microsoft Sentinel 지원의 주요 기능
다음 기능 및 이점은 Microsoft Sentinel MCP 서버의 일부입니다.
AI 기반 보안 작업을 위한 통합 호스팅 인터페이스: Microsoft Sentinel 통합 MCP 서버 인터페이스가 완전히 호스트되고, 인프라 배포가 필요하지 않으며, ID에 Microsoft Entra 사용합니다. 보안 팀은 호환되는 클라이언트를 연결하여 일상적인 AI 작업을 간소화할 수 있습니다.
시나리오 중심 및 자연어 보안 도구: Microsoft Sentinel MCP 지원은 즉시 사용할 수 있는 보안 도구의 시나리오 중심 컬렉션을 통해 제공됩니다. 이러한 컬렉션은 보안 팀이 자연어를 사용하여 Microsoft Sentinel 데이터 레이크 및 Microsoft Defender 보안 데이터를 상호 작용하고 추론하는 데 도움이 되며, 코드 우선 통합, 데이터 스키마 이해 또는 잘 구성된 데이터 쿼리 작성의 필요성을 제거합니다.
효과적인 보안 에이전트의 가속화된 개발: Microsoft Sentinel 보안 도구 컬렉션은 보안 데이터의 검색 및 검색을 자동화하고 에이전트를 사용자 지정하는 예측 가능하고 실행 가능한 응답을 제공합니다. 이 지원은 효율적인 보안 에이전트 생성 속도를 높이고 더 나은 매우 효과적인 보안 에이전트를 제공합니다.
비용 효율적이고 컨텍스트가 풍부한 보안 데이터 통합: 데이터 레이크를 사용하면 모든 보안 데이터를 비용 효율적으로 Microsoft Sentinel 수 있으므로 적용 범위와 비용 중에서 선택할 필요가 없습니다. Microsoft Sentinel 도구 컬렉션은 기본적으로 보안 데이터 레이크 및 Microsoft Defender 통합되므로 포괄적인 보안 컨텍스트 엔지니어링을 빌드할 수 있습니다.
Microsoft Sentinel 통합 MCP 서버 내에서 AI를 사용하는 방법에 대한 자세한 내용은 애플리케이션 카드: Microsoft Sentinel MCP 서버를 참조하세요.
MCP 소개
MCP(모델 컨텍스트 프로토콜)는 언어 모델이 안전하고 구조화되고 상태 저장 방식으로 외부 도구, 메모리 및 컨텍스트와 상호 작용하는 방식을 관리하는 개방형 프로토콜입니다. MCP는 여러 구성 요소와 함께 클라이언트 서버 아키텍처를 사용합니다.
MCP 호스트: 하나 이상의 MCP 클라이언트를 조정하고 관리하는 AI 애플리케이션입니다.
MCP 클라이언트: MCP 서버에 대한 연결을 유지하고 MCP 호스트가 사용할 MCP 서버에서 컨텍스트를 가져오는 구성 요소입니다.
MCP 서버: MCP 클라이언트에 컨텍스트를 제공하는 프로그램입니다.
예를 들어 Visual Studio Code MCP 호스트 역할을합니다. Visual Studio Code 데이터 탐색을 위한 Microsoft Sentinel MCP 서버와 같은 MCP 서버에 대한 연결을 설정하면 Visual Studio Code 런타임은 연결된 MCP 서버에 대한 연결을 유지하는 MCP 클라이언트 개체를 인스턴스화합니다.
Microsoft Sentinel MCP 컬렉션을 사용하는 시나리오
호환되는 클라이언트를 Microsoft Sentinel MCP 컬렉션에 연결하는 경우 도구를 사용하여 다음을 수행할 수 있습니다.
대화형으로 장기 보안 데이터 탐색: ID 기반 공격에 초점을 맞춘 것과 같은 보안 분석가 및 위협 사냥꾼은 다양한 보안 테이블에서 데이터를 신속하게 쿼리하고 상호 연결해야 합니다. 현재 모든 테이블과 각 테이블에 포함된 데이터에 대한 지식이 있어야 합니다. 이제 분석가는 데이터 탐색 수집을 통해 자연어 프롬프트를 사용하여 테이블과 스키마를 기억하거나 KQL(올바른 형식의 Kusto 쿼리 언어) 쿼리를 작성하지 않고도 Microsoft Sentinel 데이터 레이크의 테이블에서 관련 데이터를 검색하고 검색할 수 있습니다.
예를 들어 분석가는 파일 활동을 Purview 민감도 레이블과 상호 연결하여 원래 90~180일/시간 동안 눈에 띄지 않았을 수 있는 데이터 반출, 정책 위반 또는 의심스러운 사용자 동작의 징후를 발견하여 가능한 내부자 위협을 찾을 수 있습니다. 이 대화형 접근 방식은 수동 쿼리 공식화에 대한 의존도를 줄이면서 위협 검색 및 조사를 가속화합니다.
보안 데이터에서 엔터티 분석: SOC(Security Operations Center) 엔지니어, 분석가 및 에이전트도 모든 organization 보안 데이터를 사용하여 URL 및 사용자와 같은 엔터티를 쉽게 분석하고 심사할 수 있는 방법이 필요합니다. 그러나 오늘날의 조각화된 데이터 원본은 이 프로세스를 복잡하고 자동화하는 데 시간이 많이 걸립니다. 가장 일반적인 인시던트 심사 작업 중 하나인 엔터티 보강은 종종 수동 컨텍스트 수집 작업이 되어 응답 시간을 늦추게 합니다. 데이터 탐색 컬렉션의 엔터티 분석기 도구를 사용하면 분석가와 SOC 엔지니어는 데이터 레이크의 보안 데이터를 사용하여 엔터티에 대한 포괄적인 평결과 분석을 검색, 추론 및 명확하게 제시할 수 있는 원클릭 작업을 통해 사용자와 사용자가 빌드하는 에이전트에 대한 엔터티 보강을 쉽게 자동화할 수 있습니다.
자연어를 통해 Security Copilot 에이전트 빌드: SOC 엔지니어는 조각난 데이터 원본 및 엄격한 스키마 요구 사항으로 인해 플레이북을 수동으로 자동화하는 데 몇 주가 소요되는 경우가 많습니다. 에이전트 생성 도구를 사용하여 엔지니어는 보안 데이터를 추론하는 올바른 AI 모델 지침 및 도구를 사용하여 에이전트를 신속하게 빌드하고 organization 워크플로 및 프로세스에 맞게 사용자 지정된 자동화를 만드는 자연어로 의도를 설명할 수 있습니다.
인시던트 심사 및 위협 찾기: SOC 엔지니어는 보안 워크플로 문제와 사용하는 플랫폼 및 도구 간의 상호 운용성에 대해 걱정할 필요 없이 인시던트의 우선 순위를 신속하게 지정하고 organization 자체 데이터를 쉽게 추적해야 합니다. 도구 심사 컬렉션은 인시던트 심사 및 헌팅을 지원하는 API와 AI 모델을 통합합니다. 이 통합은 평균 해결 시간, 위험 노출 및 체류 시간을 줄이고 팀이 더 스마트하고 빠른 의사 결정을 위해 AI를 활용할 수 있도록 합니다.