Microsoft Sentinel MCP Server
2025.05.05
0
Python安全分析日志管理威胁情报内容生成开发效率
Microsoft Sentinel MCP Server 是一个基于模型上下文协议(MCP)的服务器,专为Microsoft Sentinel设计。它提供了对Microsoft Sentinel实例的只读访问,包括高级查询、事件查看和资源探索功能。该服务器旨在为安全操作和分析提供一个模块化且可扩展的平台,仅用于测试环境,不支持生产环境。
View on GitHub
Overview
基本能力
产品定位
Microsoft Sentinel MCP Server 是一个专为Microsoft Sentinel设计的MCP服务器,提供只读访问功能,用于安全操作和分析。
核心功能
- KQL查询执行:运行和验证KQL查询,使用模拟数据进行测试
- 日志分析管理:工作区信息、表列表和模式
- 安全事件:列出和查看详细的事件信息
- 分析规则:按MITRE战术/技术列出、查看和分析
- 规则模板:按MITRE框架访问和分析模板
- 狩猎查询:按战术列出、查看详情和分析
- 数据连接器:列出和查看连接器详情
- 监视列表:管理监视列表及其项目
- 威胁情报:域名WHOIS和IP地理位置查询
- 元数据和源代码控制:列出和查看仓库详情
- ML分析:访问ML分析设置
- 授权:查看RBAC角色分配
- Entra ID用户和组:查看Microsoft Entra ID中的用户和组详情
适用场景
- 测试环境中的安全操作和分析
- 非生产环境中的安全事件查看和分析
- 开发和安全研究中的KQL查询测试
工具列表
| 工具名称 | 描述 |
|---|---|
entra_id_list_users |
列出Microsoft Entra ID中的所有用户 |
sentinel_logs_search |
在Azure Monitor日志中运行KQL查询 |
sentinel_incident_list |
列出Microsoft Sentinel中的安全事件 |
sentinel_domain_whois_get |
获取域名的WHOIS信息 |
sentinel_ip_geodata_get |
获取IP地址的地理位置数据 |
常见问题解答
- Q: 是否支持生产环境? A: 不支持,仅用于测试环境。
- Q: 如何认证? A: 支持Azure CLI和服务主体认证。
使用教程
使用依赖
- 安装Azure CLI并登录:
az login
安装教程
- 克隆仓库:
git clone https://github.com/dstreefkerk/ms-sentinel-mcp-server.git
cd ms-sentinel-mcp-server
- 使用PowerShell脚本安装:
.\install.ps1
调试方式
- 启用调试模式:
MCP_DEBUG_LOG=true
- 查看日志:
日志位于临时目录中的
sentinel_mcp_server.log文件。