Criar e utilizar ferramentas Microsoft Sentinel MCP personalizadas (pré-visualização)

Importante

Estas informações estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Os agentes de segurança criados com a coleção de ferramentas mcP (Model Context Protocol) do Microsoft Sentinel podem efetivamente raciocinar sobre os dados no Microsoft Sentinel. Pode criar Sentinel ferramentas MCP personalizadas para ter controlo granular sobre os dados acessíveis aos agentes de segurança e criar fluxos de trabalho agenteísticos deterministas.

Este artigo mostra como pode permitir que os agentes obtenham e raciocinar sobre o conhecimento da sua biblioteca de consultas de Linguagem de Pesquisa Kusto (KQL) guardadas em investigação avançada e Sentinel data lake ao criar ferramentas MCP personalizadas.

Pré-requisitos

Para criar Microsoft Sentinel ferramentas MCP personalizadas, precisa dos seguintes pré-requisitos:

  • licenças Microsoft Sentinel data lake e Microsoft Defender
  • Operador de Segurança, Administração de Segurança ou Função de Administração Global para criar, atualizar ou eliminar ferramentas personalizadas
  • Leitor de segurança ou Função de leitor global para listar e invocar ferramentas personalizadas

Criar ferramentas personalizadas com consultas KQL

Utilize consultas de investigação avançadas no portal do Microsoft Defender e consultas KQL no Microsoft Sentinel data lake para localizar e detetar dados de segurança que pode utilizar em fluxos de trabalho agentes. Esta abordagem permite-lhe controlar o tipo e a quantidade de informações que os agentes podem determinar. Quando verificar que uma consulta obtém os dados com os quais pretende que o seu agente o raciocinar, guarde-os como uma ferramenta MCP personalizada.

Para guardar uma consulta KQL como uma ferramenta MCP, siga estes passos:

  1. Na página Investigação avançada no Microsoft Defender, localize e detete nas suas consultas KQL criadas manualmente ou na sua biblioteca de consultas guardadas os dados de segurança que pretende utilizar nos fluxos agentes e, em seguida, abra-os na janela de consulta.

  2. Selecione Guardar como ferramenta em qualquer uma das seguintes experiências do portal do Defender:

    • Menu de contexto de uma consulta

      Captura de ecrã da opção Guardar como ferramenta no menu de contexto de uma consulta KQL.

    • Menu da caixa de consulta KQL de uma consulta

      Captura de ecrã da opção Guardar como ferramenta numa caixa de consulta KQL.

  3. No painel de lista de opções Guardar ferramenta que é apresentado, introduza os seguintes detalhes:

    • Nome: Um nome detetável para a sua ferramenta que ajuda os modelos de IA a identificar e selecionar corretamente a ferramenta para tarefas específicas.

    • Descrição: A descrição da ferramenta. Para obter mais informações, veja Melhores práticas para criar descrições de ferramentas.

    • Coleção: Escolha se pretende adicionar a ferramenta a uma coleção de ferramentas existente ou criar uma nova ao selecionar Criar nova coleção.

    • Área de trabalho predefinida: A área de trabalho predefinida que pretende que o agente utilize como sugestão sempre que um pedido não especificar áreas de trabalho.

    • Parâmetros (opcional): As entradas personalizáveis suportadas pela ferramenta. Pode converter alguns dos valores na consulta KQL em parâmetros que seguem o formato e, em seguida, adicionar o {ParamaterName}Nome do parâmetro e Descrição para que o agente tenha uma boa compreensão sobre como preenchê-los com base no contexto de conversação disponível.

    Captura de ecrã do painel de lista de opções da ferramenta personalizada MCP na investigação avançada.

    Captura de ecrã de uma consulta KQL com determinados valores convertidos em parâmetros.

  4. Seleccione Guardar.

Ver ferramentas mcP personalizadas guardadas

Para ver as ferramentas mcP personalizadas que guardou a partir de consultas de investigação avançadas, aceda ao separador Ferramentas na página Investigação avançada .

Melhores práticas para criar descrições de ferramentas

Ao guardar a sua ferramenta personalizada, o respetivo nome e, mais importante, a respetiva descrição são cruciais para identificar e selecioná-la para tarefas específicas. As seguintes melhores práticas e considerações podem ajudar a descrever a sua ferramenta:

  • Mantenha-o curto e orientado para a ação. Utilize uma a duas frases que comecem com um verbo e um recurso claros (por exemplo, "Obtém dados de registo de auditoria para um utilizador específico"). Evite jargão ou expressões demasiado técnicas.

  • Concentre-se na finalidade e não nos parâmetros. Descreva o que a ferramenta faz e o respetivo caso de utilização principal. Deixe os detalhes do parâmetro no esquema, não na descrição.

  • Inclua sugestões de fluxo de trabalho apenas se forem críticas. Se uma ferramenta precisar de um passo de pré-requisito (por exemplo, "Chamar risky_users_tool primeiro"), mencione-a brevemente para evitar utilização indevida.

  • Otimizar para deteção e clareza. Utilize nomenclatura consistente, evite termos ambíguos e garanta que as descrições ajudam os modelos de IA e os utilizadores a selecionar rapidamente a ferramenta certa.

Utilizar ferramentas personalizadas em agentes personalizados e plataformas de codificação

Para obter mais informações sobre como utilizar a coleção de ferramentas personalizada nos agentes de segurança, consulte os artigos para os seguintes editores de código com tecnologia de IA e plataformas de criação de agentes:

Conteúdos relacionados

  • Last updated on