Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo mostra-lhe como configurar e utilizar a coleção de ferramentas de segurança mcP (Model Context Protocol) do Microsoft Sentinel para ativar consultas de linguagem natural nos seus dados de segurança. O suporte do Sentinel para MCP permite que as equipas de segurança levem a IA para as suas operações de segurança ao permitir que os modelos de IA acedam aos dados de segurança de forma padrão. Para obter mais informações sobre como a IA é utilizada no servidor MCP unificado do Microsoft Sentinel, veja Application card: Microsoft Sentinel MCP server (Cartão de aplicação: Microsoft Sentinel servidor MCP).
A coleção de ferramentas de segurança do Sentinel funciona com vários clientes e plataformas de automatização. Pode utilizar estas ferramentas para procurar tabelas relevantes e obter dados, analisar entidades, triagem de incidentes, procurar ameaças e outras tarefas.
Pré-requisitos
A maioria das ferramentas no Microsoft Sentinel servidor MCP exige que seja integrado no data lake Microsoft Sentinel para utilizá-los.
Outras ferramentas também podem precisar que esteja integrado em, pelo menos, um dos seguintes produtos:
- Microsoft Sentinel no portal do Microsoft Defender
- Microsoft Defender XDR ou Microsoft Defender para Endpoint
- Microsoft Security Copilot
Para obter mais informações sobre os pré-requisitos de produtos específicos de uma coleção de ferramentas, consulte os respetivos artigos.
Também precisa da função Leitor de segurança para listar e invocar a coleção de ferramentas MCP do Sentinel. A coleção de ferramentas de triagem permite-lhe utilizar qualquer ferramenta que as suas permissões existentes lhe concedam.
Adicionar a coleção de ferramentas MCP do Microsoft Sentinel
Para obter mais informações sobre como adicionar a coleção de ferramentas MCP da Microsoft Sentinel, veja os artigos para os seguintes editores de código com tecnologia de IA e plataformas de criação de agentes:
Testar as ferramentas adicionadas com pedidos de exemplo
Depois de adicionar a coleção de ferramentas de Microsoft Sentinel, utilize os seguintes pedidos de exemplo para interagir com dados no seu Microsoft Sentinel data lake.
- Localize os três principais utilizadores que estão em risco e explique por que motivo estão em risco.
- Encontre falhas de início de sessão nas últimas 24 horas e dê-me um breve resumo das principais conclusões.
- Identifique os dispositivos que apresentaram um número excecional de ligações de rede de saída.
- Ajude-me a compreender se o ID> do objeto de utilizador do utilizador <está comprometido.
- Investigue os utilizadores com um alerta de utilização de palavra-passe nos últimos sete dias e diga-me se algum deles está comprometido.
- Encontre todos os IOCs de URL do relatório> de <análise de ameaças e analise-os para me dizer tudo o que a Microsoft sabe sobre os mesmos.
Para compreender como os agentes invocam estas ferramentas para responder a estes pedidos, veja Como Microsoft Sentinel ferramentas MCP funcionam juntamente com o seu agente.
Desativar Microsoft Sentinel acesso à ferramenta MCP
Para desativar o acesso à coleção de ferramentas MCP do Microsoft Sentinel, contacte o suporte ao cliente.