Microsoft Sentinel MCP(모델 컨텍스트 프로토콜) 서버 컬렉션은 호환되는 모든 클라이언트에서 사용할 수 있는 관련 보안 중심 MCP 도구의 논리적 그룹화입니다.
- 관련 테이블 검색
- 데이터 검색
- 엔터티 분석
- Security Copilot 에이전트 만들기
- 심사 인시던트
- 위협에 대한 헌팅
컬렉션은 시나리오에 중점을 두고 있으며 AI 모델이 올바른 도구를 선택하고 이러한 결과를 제공하는 데 도움이 되는 보안 최적화 설명이 있습니다. 예를 들어 다음 샘플 프롬프트를 사용하여 적절한 도구를 가져올 수 있습니다.
- 위험에 처한 상위 3명의 사용자를 찾고 위험에 처한 이유를 설명합니다.
- 지난 24시간 동안의 로그인 실패를 찾고 주요 결과에 대한 간략한 요약을 제공합니다.
- 미해결 수의 나가는 네트워크 연결을 보여 준 디바이스를 식별합니다.
- 사용자 <사용자 개체 ID> 가 손상되었는지 이해합니다.
- 지난 7일 동안 암호 스프레이 경고가 있는 사용자를 조사하고 손상된 사용자가 있는지 알려주세요.
- 위협 분석 보고서에서> 모든 URL IOC를 찾아 분석하여 Microsoft에서 <알고 있는 모든 것을 알려줍니다.
사용 가능한 컬렉션
다음 표에서는 사용할 수 있는 컬렉션을 나열합니다.
| 컬렉션 | 설명 | 서버 URL |
|---|---|---|
| 데이터 탐색 | 관련 테이블을 검색하고, 레이크를 쿼리하고, 엔터티를 분석하여 Microsoft Sentinel 데이터 레이크에서 보안 데이터 탐색 | https://sentinel.microsoft.com/mcp/data-exploration |
| Security Copilot 에이전트 만들기 | 복잡한 워크플로에 대한 Microsoft Security Copilot 에이전트 만들기 | https://sentinel.microsoft.com/mcp/security-copilot-agent-creation |
| 심사 | 인시던트 빠르게 심사하고 사용자 고유의 데이터를 쉽게 검색 | https://sentinel.microsoft.com/mcp/triage |
사용자 고유의 사용자 지정 MCP 도구 만들기
에이전트가 사용자 지정 MCP 도구를 사용하여 고급 헌팅에서 KQL(저장된 Kusto 쿼리 언어) 쿼리 라이브러리에서 지식을 검색하고 추론할 수 있도록 설정할 수 있습니다. 고유한 Sentinel MCP 도구를 만들면 보안 에이전트가 액세스할 수 있는 데이터를 세부적으로 제어하고 결정적 에이전트 워크플로를 만들 수 있습니다.
자세한 내용은 사용자 지정 Microsoft Sentinel MCP 도구 만들기 및 사용을 참조하세요.