Explorar Microsoft Sentinel data lake com a recolha de exploração de dados

A coleção de ferramentas de exploração de dados no servidor mcP (Model Context Protocol) do Microsoft Sentinel permite-lhe procurar tabelas relevantes e obter dados do data lake do Microsoft Sentinel com linguagem natural.

Pré-requisitos

Para aceder à coleção de ferramentas de exploração de dados, precisa dos seguintes pré-requisitos:

• Microsoft Sentinel data lake
• Qualquer um dos editores de código suportados com tecnologia de IA e plataformas de criação de agentes:
  • Microsoft Security Copilot
  • Microsoft Copilot Studio
  • Microsoft Foundry
  • Visual Studio Code

Adicionar a coleção de exploração de dados

Para adicionar a recolha de exploração de dados, configure primeiro a interface de servidor MCP unificada do Microsoft Sentinel. Siga as instruções passo a passo para editores de código compatíveis com tecnologia de IA e plataformas de criação de agentes.

A recolha de exploração de dados está alojada no seguinte URL:

https://sentinel.microsoft.com/mcp/data-exploration

Ferramentas na coleção de exploração de dados

Pesquisa semântica no catálogo de tabelas (search_tables)

Esta ferramenta deteta tabelas de data lake relevantes para uma determinada entrada de linguagem natural e devolve definições de esquema para suportar a criação de consultas. Utilize esta ferramenta para detetar tabelas, compreender um esquema ou criar consultas de Linguagem de Pesquisa Kusto (KQL) válidas para uma área de trabalho Microsoft Sentinel. Também pode utilizá-la para explorar origens de dados desconhecidas ou identificar tabelas relevantes para uma tarefa de investigação ou análise específica.

Tabelas suportadas

Esta ferramenta suporta quase todas as tabelas padrão e de hub de conteúdos de parceiros conhecidas fora da caixa, incluindo Azure monitorizar tabelas do Log Analytics organizadas por categoria e a maioria das tabelas Microsoft Sentinel e conectores associados.

As tabelas de Microsoft Sentinel seguintes não são suportadas:

Executar consulta KQL (Linguagem de Pesquisa Kusto) no Microsoft Sentinel data lake (query_lake)

Esta ferramenta executa uma única consulta KQL numa área de trabalho Microsoft Sentinel data lake especificada e devolve o conjunto de resultados não processados. Foi concebido para obtenção analítica ou de investigação focada e não para exportação em massa. Utilize esta ferramenta para avançar com uma investigação ou fluxo de trabalho analítico e obter um evento de segurança, alerta, recurso, identidade, dispositivo ou dados de melhoramento. Também pode utilizá-la juntamente com a search_tables ferramenta para identificar esquemas de tabela relevantes e criar consultas KQL válidas.

Listar áreas de trabalho (list_sentinel_workspaces)

Esta ferramenta lista todos os pares de ID e nome da área de trabalho do data lake Microsoft Sentinel disponíveis para si. A inclusão do nome da área de trabalho fornece-lhe contexto útil para compreender que área de trabalho está a ser utilizada. Execute esta ferramenta antes de utilizar outras ferramentas de Microsoft Sentinel porque essas ferramentas precisam de um argumento de ID da área de trabalho para funcionar corretamente.

Analisador de entidades

Estas ferramentas utilizam IA para analisar os dados da sua organização no data lake Microsoft Sentinel. Fornecem um veredicto e informações detalhadas sobre URLs, domínios e entidades de utilizador. Ajudam a eliminar a necessidade de recolha manual de dados e integrações complexas normalmente necessárias para enriquecer e investigar entidades.

Por exemplo, analyze_user_entity razões sobre os padrões de autenticação do utilizador, anomalias comportamentais, atividade na sua organização e muito mais para fornecer um veredicto e uma análise. Entretanto, analyze_url_entity as razões das informações sobre ameaças da Microsoft, as suas informações sobre ameaças personalizadas no Microsoft Sentinel plataforma de informações sobre ameaças (TIP), clique, e-mail ou atividade de ligação no URL na sua organização e presença em listas de observação Microsoft Sentinel, entre outras, para fornecer um veredicto e análise de forma semelhante.

As ferramentas de análise de entidades podem necessitar de alguns minutos para gerar resultados, pelo que existem ferramentas para iniciar a análise de cada entidade e outra que consulta os resultados da análise.

Iniciar análise (analyze_user_entity e analyze_url_entity)

Estas ferramentas devolvem um valor de identificador que pode fornecer à ferramenta de análise de obtenção como entrada.

Obter análise (get_entity_analysis)

Enquanto esta ferramenta consulta automaticamente durante alguns minutos até os resultados estarem prontos, o tempo limite interno pode não ser suficiente para operações de análise longas. Poderá ter de executá-lo várias vezes para obter resultados.

Informações adicionais

• analyze_user_entity suporta um período de tempo máximo de sete dias para maximizar a precisão dos resultados.

• analyze_user_entitysó funciona para utilizadores com um ID de objeto Microsoft Entra (utilizadores). Os utilizadores apenas do Active Directory no local não são suportados para análise de utilizadores.

• analyze_user_entity requer que as seguintes tabelas estejam presentes no data lake para garantir a precisão da análise:

  • AlertEvidence
  • SigninLogs
  • CloudAppEvents
  • IdentityInfo (Disponível apenas para inquilinos com Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps ou licenciamento P2 Microsoft Defender para Endpoint)

  Se não tiver nenhuma destas tabelas necessárias, analyze_user_entity gera uma mensagem de erro que lista as tabelas que não integrou, juntamente com ligações para a documentação de integração correspondente.

• analyze_user_entity Funciona melhor quando as tabelas seguintes também estão presentes no data lake, mas continuam a funcionar e a avaliar o risco, mesmo que as tabelas não estejam disponíveis:

  • AADNonInteractiveUserSignInLogs
  • BehaviorAnalytics

• analyze_url_entity Funciona melhor quando as tabelas seguintes estão presentes no data lake, mas continuam a funcionar e a avaliar o risco, mesmo que as tabelas não estejam disponíveis:

  • EmailUrlInfo
  • UrlClickEvents
  • ThreatIntelIndicators
  • Lista de observação
  • DeviceNetworkEvents

  Se não tiver nenhuma destas tabelas, analyze_url_entity gera uma resposta com uma exclusão de responsabilidade que lista as tabelas que não integrou, juntamente com ligações para a documentação de inclusão correspondente.

• A execução de várias instâncias do analisador de entidades ao mesmo tempo pode aumentar a latência para cada execução. Para evitar tempos limite e evitar atingir os limiares de pré-visualização do analisador de entidades, comece por executar um máximo de cinco análises ao mesmo tempo e, em seguida, ajuste-a conforme necessário com base na frequência com que a aplicação lógica é acionada na sua organização.

Pedidos de exemplo

Os seguintes pedidos de exemplo demonstram o que pode fazer com a recolha de exploração de dados:

• Localize os três principais utilizadores que estão em risco e explique por que motivo estão em risco.
• Encontre falhas de início de sessão nas últimas 24 horas e dê-me um breve resumo das principais conclusões.
• Identifique os dispositivos que apresentaram um número excecional de ligações de rede de saída.
• Ajude-me a compreender se o ID> do objeto de utilizador do utilizador <está comprometido.
• Investigue os utilizadores com um alerta de utilização de palavra-passe nos últimos sete dias e diga-me se algum deles está comprometido.
• Encontre todos os IOCs de URL do relatório> de <análise de ameaças e analise-os para me dizer tudo o que a Microsoft sabe sobre os mesmos.

Como Microsoft Sentinel ferramentas MCP funcionam juntamente com o seu agente

Vamos analisar mais detalhadamente como um agente responde a um pedido ao orquestrar dinamicamente as ferramentas.

Pedido de exemplo:Find the top three users that are at risk and explain why they're at risk.

Resposta típica (GitHub Copilot com Claude Sonnet 4):

Explicação:

• Quando o agente recebe o pedido, procura tabelas relevantes que contenham informações de risco e segurança do utilizador. Começa por desconstruir o pedido em palavras-chave de pesquisa para encontrar as tabelas.

  No pedido de exemplo, a pesquisa identifica quatro tabelas relevantes do âmbito das tabelas às quais o utilizador tem acesso:

  • AADNonInteractiveUserSignInLogs- Eventos de início de sessão de Microsoft Entra ID não interativos
  • BehaviorAnalytics - Dados da Análise de Comportamento do Utilizador e da Entidade (UEBA)
  • SigninLogs- Eventos de início de sessão interativos Microsoft Entra ID
  • AADUserRiskEvents - Deteções de risco de proteção de identidade

  

• O agente faz outra pesquisa utilizando a ferramenta Pesquisa semântica no catálogo de tabelas (search_tables), desta vez com termos mais amplos, para encontrar outras tabelas das quais deve consultar dados para influenciar o seu raciocínio.

  

• O agente identifica as tabelas relevantes e, em seguida, utiliza a consulta Executar KQL (Linguagem de Pesquisa Kusto) na ferramenta Microsoft Sentinel data lake (query_lake) para consultar dados e encontrar os três principais utilizadores em risco. A primeira tentativa falha porque a consulta KQL tem um erro semântico.

  

• O agente corrige a consulta KQL por si só e obtém com êxito os dados de Microsoft Sentinel data lake, localizando os utilizadores de risco.

  

• O agente executa mais uma consulta para obter informações detalhadas sobre os utilizadores de risco para fornecer um melhor contexto sobre o motivo pelo qual estão em risco.

  

• O agente responde ao utilizador com a análise abrangente.

Conteúdos relacionados

• Qual é o suporte do Microsoft Sentinel para o Protocolo mcP (Model Context Protocol)?
• Introdução ao Microsoft Sentinel servidor MCP