Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel, unsere Sicherheitsplattform, führt unterstützung für Model Context Protocol (MCP) ein. Diese Unterstützung umfasst mehrere szenariobezogene Sammlungen von Sicherheitstools über eine einheitliche Serverschnittstelle. Mit dieser Unterstützung können Sie Sicherheitsdaten in natürlicher Sprache interaktiv abfragen und effektive Sicherheits-Agents erstellen, die komplexe Automatisierung ausführen können. Unsere Sammlung von Sicherheitstools hilft Sicherheitsteams, KI in ihre täglichen Sicherheitsvorgänge zu integrieren, um allgemeine Aufgaben wie Datenexploration, Erstellen agentischer Automatisierung und Bedrohungssuche zu unterstützen.
Wichtige Features der Unterstützung von Microsoft Sentinel für MCP
Die folgenden Features und Vorteile sind Teil der MCP-Server von Microsoft Sentinel:
Einheitliche, gehostete Schnittstelle für KI-gesteuerte Sicherheitsvorgänge: Die einheitliche MCP-Serverschnittstelle von Microsoft Sentinel wird vollständig gehostet, erfordert keine Infrastrukturbereitstellung und verwendet Microsoft Entra für Identität. Sicherheitsteams können kompatible Clients verbinden, um tägliche KI-Vorgänge zu optimieren.
Szenarioorientierte und natürliche Sprachsicherheitstools: Die MCP-Unterstützung von Microsoft Sentinel erfolgt durch szenarioorientierte Sammlungen von einsatzbereiten Sicherheitstools. Diese Sammlungen helfen den Sicherheitsteams dabei, mit Sicherheitsdaten im Microsoft Sentinel Data Lake und Microsoft Defender in natürlicher Sprache zu interagieren und diese zu analysieren. Dadurch entfällt die Notwendigkeit für eine Code-first-Integration, das Verstehen von Datenschemata oder das Schreiben von gut strukturierten Datenabfragen.
Beschleunigte Entwicklung effektiver Sicherheits-Agents: Die Sammlung von Sicherheitstools von Microsoft Sentinel automatisiert die Ermittlung und das Abrufen von Sicherheitsdaten und liefert vorhersehbare, umsetzbare Antworten zum Anpassen von Agents. Diese Unterstützung beschleunigt die effiziente Erstellung von Sicherheitsmitarbeitern und bietet bessere und hochwirksame Sicherheitsmitarbeiter.
Kostengünstige, kontextreiche Sicherheitsdatenintegration: Mit dem Data Lake können Sie alle Ihre Sicherheitsdaten kosteneffizient in Microsoft Sentinel integrieren, sodass Sie nicht zwischen Abdeckung und Kosten wählen müssen. Die Sammlung von Tools von Microsoft Sentinel ist nativ in den Sicherheitsdatensee und Microsoft Defender integriert, sodass Sie ein umfassendes Sicherheitskontext-Engineering erstellen können.
Einführung in MCP
Das Model Context Protocol (MCP) ist ein offenes Protokoll, das verwaltet, wie Sprachmodelle mit externen Tools, Arbeitsspeicher und Kontext auf sichere, strukturierte und zustandsbehaftete Weise interagieren. MCP verwendet eine Clientserverarchitektur mit mehreren Komponenten:
MCP-Host: Die KI-Anwendung, die einen oder mehrere MCP-Clients koordiniert und verwaltet
MCP-Client: Eine Komponente, die eine Verbindung mit einem MCP-Server herstellt und kontext von einem MCP-Server abruft, damit der MCP-Host verwendet werden kann
MCP-Server: Ein Programm, das Kontext zu MCP-Clients bereitstellt
Beispielsweise fungiert Visual Studio Code als MCP-Host. Wenn Visual Studio Code eine Verbindung mit einem MCP-Server herstellt, z. B. den Microsoft Sentinel MCP-Server für die Datensuche, instanziiert die Visual Studio Code-Laufzeit ein MCP-Clientobjekt, das die Verbindung mit dem verbundenen MCP-Server verwaltet.
Weitere Informationen zur MCP-Architektur
Szenarien für die Verwendung der MCP-Sammlungen von Microsoft Sentinel
Wenn Sie einen kompatiblen Client mit den MCP-Sammlungen von Microsoft Sentinel verbinden, können Sie Tools für Folgendes verwenden:
Interaktives Untersuchen langfristiger Sicherheitsdaten: Sicherheitsanalysten und Bedrohungssucher, wie solche, die sich auf identitätsbasierte Angriffe konzentrieren, müssen Daten in verschiedenen Sicherheitstabellen schnell abfragen und korrelieren. Heute müssen sie über Kenntnisse aller Tabellen verfügen und welche Daten jede Tabelle enthält. Mit unserer Datenerkundungssammlung können Analysten jetzt Eingaben in natürlicher Sprache verwenden, um relevante Daten aus Tabellen im Microsoft Sentinel-Datenlake zu suchen und abzurufen, ohne sich Tabellen und deren Struktur merken oder gut formierte Kusto Query Language (KQL)-Abfragen schreiben zu müssen.
Beispielsweise kann ein Analyst nach möglichen Insider-Bedrohungen suchen, indem er Dateiaktivitäten mit der Vertraulichkeitsbezeichnung Purview korreliert, um Anzeichen von Datenexfiltration, Richtlinienverstößen oder verdächtigem Benutzerverhalten aufzudecken, das während des ursprünglichen 90- bis 180-Tages-/Zeitfensters möglicherweise nicht bemerkt wurde. Dieser interaktive Ansatz beschleunigt die Erkennung und Untersuchung von Bedrohungen und verringert gleichzeitig die Abhängigkeit von der manuellen Abfrageformulierung.
Analysieren Sie Entitäten in Ihren Sicherheitsdaten: SoC-Techniker (Security Operations Center), Analysten und sogar Agents benötigen eine einfache Möglichkeit, Entitäten wie URLs und Benutzer mithilfe aller Sicherheitsdaten einer Organisation zu analysieren und zu triagen. Fragmentierte Datenquellen machen diesen Prozess jedoch komplex und zeitaufwändig, um dies zu automatisieren. Als einer der am häufigsten verwendeten Vorfall-Triage-Aufgaben wird die Entitätserweiterung daher häufig zu einem manuellen Kontexterfassungsaufwand, wodurch die Reaktionszeiten verlangsamt werden. Mit den Tools für die Entitätsanalyse in der Datenerkundungssammlung verfügen Analysefachkräfte und SOC-Technikfachkräfte über eine Ein-Klick-Aktion, die umfassende Bewertungen und Analysen zu Entitäten mithilfe der Sicherheitsdaten im Data Lake abrufen, analysieren und deutlich darstellen kann. Dies erleichtert die Automatisierung der Entitätsanreicherung für Sie und die von Ihnen erstellten Agents.
Starten Sie mit der automatischen Analyse von Entitäten während Untersuchungen
Erstellen Sie Security Copilot Agents über natürliche Sprache: SOC-Ingenieure verbringen oft Wochen mit der manuellen Automatisierung von Playbooks aufgrund fragmentierter Datenquellen und starrer Schemaanforderungen. Mit unseren Agent-Erstellungstools können Ingenieure ihre Absicht in natürlicher Sprache beschreiben, um Agenten schnell mit den richtigen KI-Modellanweisungen und Tools zu erstellen, die über ihre Sicherheitsdaten analysieren und Automatisierungen erstellen, die an die Workflows und Prozesse der Organisation angepasst sind.
Sichtung von Vorfällen und Erkennung von Bedrohungen: SOC-Ingenieure müssen Vorfälle schnell nach Prioritäten ordnen und die Daten Ihrer Organisation problemlos durchsuchen können, ohne sich um Probleme mit Sicherheits-Workflows und der Interoperabilität der von ihnen verwendeten Plattformen und Tools kümmern zu müssen. Unsere Sammlung von Tools für die Sichtung integriert Ihre KI-Modelle mit APIs, die die Sichtung und Erkennung von Vorfällen unterstützen. Diese Integration reduziert die Zeit für Auflösung, Risikoexposition und Verweilzeit und ermöglicht Es Ihrem Team, KI für intelligentere und schnellere Entscheidungen zu nutzen.