Сервер Microsoft Sentinel MCP
Сервер Model Context Protocol (MCP) для Microsoft Sentinel. Этот сервер обеспечивает доступ только для чтения к экземпляру Microsoft Sentinel, включая расширенные запросы, просмотр инцидентов и исследование ресурсов для сред Azure Sentinel. Он предоставляет модульную и расширяемую платформу для операций безопасности и анализа только для наблюдения.
⚠️ ВАЖНОЕ УВЕДОМЛЕНИЕ О БЕЗОПАСНОСТИ ⚠️
ТОЛЬКО ДЛЯ ТЕСТОВЫХ СРЕД : Этот сервер Microsoft Sentinel MCP поддерживает только операции только для чтения и предназначен исключительно для ТЕСТОВЫХ сред. Он не предназначен для подключения к производственным экземплярам Sentinel.
ПРЕДУПРЕЖДЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ : подключение этого сервера к производственной среде Microsoft Entra ID (Azure AD) или Sentinel может раскрыть конфиденциальные данные пользователя и каталога операторам LLM или публичным LLM. Используйте только с непроизводственными/тестовыми арендаторами или частным LLM с поддержкой MCP.
ПРЕДУПРЕЖДЕНИЕ О БЕЗОПАСНОСТИ : Подключение производственного экземпляра Microsoft Sentinel к публичному LLM представляет значительные риски конфиденциальности и безопасности. Используйте только частные, защищенные среды для производственных операций по безопасности.
Related MCP server: Satellite Tracking MCP Server
✨ Особенности
Выполнение запросов KQL : запуск и проверка запросов KQL, тестирование с использованием фиктивных данных.
Управление аналитикой журналов : информация о рабочем пространстве, списки таблиц и схемы
Инциденты безопасности : список и просмотр подробной информации об инцидентах
Правила аналитики : список, просмотр и анализ по тактикам/методам MITRE
Шаблоны правил : доступ к шаблонам и их анализ с помощью фреймворка MITRE
Запросы на охоту : список, просмотр деталей и анализ по тактике
Коннекторы данных : список и просмотр сведений о коннекторах
Списки наблюдения : управление списками наблюдения и их элементами.
Threat Intelligence : поиск по домену WHOIS и геолокации IP
Метаданные и контроль исходного кода : список и просмотр сведений о репозитории
Аналитика ML : доступ к настройкам аналитики ML
Авторизация : Просмотр назначений ролей RBAC
Пользователи и группы Entra ID : просмотр сведений о пользователях и группах из Microsoft Entra ID
🚀 Быстрый старт
1. Аутентификация с помощью Azure CLI
Перед использованием сервера MCP необходимо пройти аутентификацию в Azure с учетной записью, имеющей доступ к рабочей области Microsoft Sentinel:
az login2. Клонировать репозиторий
git clone https://github.com/dstreefkerk/ms-sentinel-mcp-server.git
cd ms-sentinel-mcp-server3. Установка с помощью скрипта PowerShell (рекомендуется)
Используйте предоставленный скрипт установки PowerShell для настройки сервера MCP:
# Run from the repository root directory
.\install.ps1Сценарий будет:
Проверьте установку Python
Создать виртуальную среду и установить зависимости
Создайте файл конфигурации Claude Desktop
Скопируйте конфигурацию в буфер обмена.
После запуска скрипта вы можете вставить конфигурацию непосредственно в ваш клиент MCP (Claude Desktop, Cursor и т. д.).
4. Используйте MCP-сервер
Сервер MCP будет готов к использованию после того, как вы настроите конфигурацию клиента MCP с соответствующей информацией о рабочем пространстве.
Просто помните, что если вы используете аутентификацию Azure CLI, вам необходимо удалить AZURE_CLIENT_ID и AZURE_CLIENT_SECRET из конфигурации клиента MCP.
🧰 Справочник инструментов
Ниже приведены доступные инструменты. Полную документацию см. в каталоге resources/tool_docs/ . Названия и описания инструментов синхронизируются с реестром инструментов сервера MCP, чтобы клиент MCP мог их извлечь.
Инструмент | Категория | Описание |
| Входной идентификатор | Список всех пользователей в Microsoft Entra ID (Azure AD) |
| Входной идентификатор | Получить пользователя по UPN или идентификатору объекта из Entra ID |
| Входной идентификатор | Список всех групп в Microsoft Entra ID (Azure AD) |
| Входной идентификатор | Получить группу по идентификатору объекта из Entra ID |
| ККЛ | Выполнить запрос KQL к журналам Azure Monitor |
| ККЛ | Локальная проверка синтаксиса запроса KQL |
| ККЛ | Тестирование KQL-запроса с фиктивными данными |
| Аналитика журналов | Список доступных таблиц в рабочей области Log Analytics |
| Аналитика журналов | Получить сведения о таблице Log Analytics |
| Аналитика журналов | Получить схему для таблицы Log Analytics |
| Аналитика журналов | Получить информацию о рабочем пространстве |
| Инциденты | Получите подробную информацию о конкретном инциденте Sentinel |
| Инциденты | Список инцидентов безопасности в Microsoft Sentinel |
| Правила аналитики | Перечислите все правила аналитики с ключевыми полями |
| Правила аналитики | Получите подробную информацию о конкретном правиле аналитики |
| Правила аналитики | Подсчет правил аналитики Sentinel по тактике |
| Правила аналитики | Правила аналитики Count Sentinel по методике MITRE |
| Шаблоны правил | Список всех шаблонов правил аналитики Sentinel |
| Шаблоны правил | Получите конкретный шаблон правила аналитики Sentinel |
| Шаблоны правил | Шаблоны правил аналитики Count Sentinel по тактике |
| Шаблоны правил | Шаблоны правил аналитики Count Sentinel по методике MITRE |
| Охота | Список всех запросов Sentinel Hunting с дополнительной фильтрацией |
| Охота | Получите полную информацию о запросе Sentinel по имени или идентификатору |
| Охота | Количество запросов на охоту Sentinel по тактике |
| Коннекторы данных | Список соединителей данных |
| Коннекторы данных | Получить конкретный коннектор данных по идентификатору |
| Списки наблюдения | Список всех списков наблюдения Sentinel |
| Списки наблюдения | Получить конкретный список наблюдения Sentinel |
| Списки наблюдения | Перечислите все элементы в списке наблюдения Sentinel |
| Списки наблюдения | Получить определенный элемент из списка наблюдения Sentinel |
| Угрозы разведки | Получить информацию WHOIS для домена |
| Угрозы разведки | Получить данные геолокации для IP-адреса |
| Метаданные | Список всех метаданных Sentinel в текущей рабочей области |
| Метаданные | Получить сведения о конкретных метаданных Sentinel по идентификатору |
| Контроль исходного кода | Список всех элементов управления исходным кодом Sentinel в текущей рабочей области |
| Контроль исходного кода | Получить сведения о конкретном элементе управления источником Sentinel по идентификатору |
| Аналитика МО | Список всех настроек аналитики Sentinel ML |
| Аналитика МО | Получить конкретную настройку аналитики Sentinel ML по имени |
| Авторизация | Обобщите назначения ролей Azure RBAC для доступа Sentinel |
| Сохраненные поиски | Список всех сохраненных поисков в рабочей области Log Analytics |
| Сохраненные поиски | Получите определенный сохраненный поиск из рабочей области Log Analytics |
🛠️ Использование
Установка в Claude Desktop или аналогичные среды
Используйте предоставленный скрипт установки PowerShell для настройки сервера MCP для Claude Desktop или других клиентов, совместимых с MCP:
# Run from the repository root directory
.\install.ps1Сценарий будет:
Проверьте установку Python
Создать виртуальную среду и установить зависимости
Выполнить шаги после установки
Создайте файл конфигурации Claude Desktop
Скопируйте конфигурацию в буфер обмена.
После запуска скрипта вы можете вставить конфигурацию непосредственно в ваш клиент MCP (Claude Desktop, Cursor и т. д.). Скрипт генерирует конфигурацию сервера MCP, совместимую с Claude. Помните об этом, если собираетесь использовать другой клиент MCP.
Расширенные параметры установки
Ручная настройка среды
Если вы предпочитаете настроить среду вручную:
Настроить переменные среды
Скопируйте предоставленный шаблон и заполните свои учетные данные Azure:
cp .env.example .env # Edit .env and set: # AZURE_TENANT_ID, AZURE_CLIENT_ID, AZURE_CLIENT_SECRET, AZURE_SUBSCRIPTION_ID, AZURE_RESOURCE_GROUP, AZURE_WORKSPACE_NAME, AZURE_WORKSPACE_IDУстановить зависимости (с uv)
uv venv uv pip install -e .Альтернативные варианты запуска сервера
Использование интерфейса командной строки MCP:
mcp run wrapper.pyРазработка и горячая перезагрузка:
mcp dev wrapper.pyРежим SSE (для IDE):
python wrapper.py --sse
Пользовательский интерфейс инспектора
Пользовательский интерфейс MCP Inspector доступен по адресу http://127.0.0.1:6274 при работе в режиме разработки ( mcp dev wrapper.py ).
🧩 Развитие
Ресурсы: Добавьте файлы Python в
resources/и реализуйте функциюregister_resources(mcp).Инструменты: Добавьте файлы Python в
tools/и реализуйте функциюregister_tools(mcp). Инструменты должны следовать структуре, определенной вdocs/tool-architecture-and-implementation-requirements.md.Подсказки: добавьте шаблоны подсказок в
prompts/для рабочих процессов, управляемых LLM.
Все компоненты в каталогах resources/ , tools/ и prompts/ автоматически обнаруживаются и регистрируются при запуске сервера. Ручной импорт не требуется.
🔐 Аутентификация и переменные среды
Сервер MCP поддерживает любой метод аутентификации, поддерживаемый DefaultAzureCredential из Azure Python SDK.
Аутентификация субъекта-службы вместо Azure CLI
Настройте регистрацию приложения в Azure и назначьте следующие роли:
Log Analytics ReaderMicrosoft Sentinel Reader
Если вы чувствуете себя смелым, вы также можете предоставить регистрации приложения следующие разрешения Microsoft Graph:
User.Read.AllGroup.Read.All
Затем используйте следующие переменные среды в файле .env или конфигурации сервера MCP:
AZURE_TENANT_IDAZURE_CLIENT_IDAZURE_CLIENT_SECRETAZURE_SUBSCRIPTION_IDAZURE_RESOURCE_GROUPAZURE_WORKSPACE_NAMEAZURE_WORKSPACE_ID
Шаблон см. в .env.example .
Аутентификация Azure CLI
az loginЕсли вы используете аутентификацию Azure CLI, вы можете исключить AZURE_CLIENT_SECRET и AZURE_CLIENT_ID из конфигурации.
🐛 Отладка
Включите режим отладки, установив переменную среды MCP_DEBUG_LOG в true в файле .env :
MCP_DEBUG_LOG=trueЖурналы записываются во временный каталог как sentinel_mcp_server.log .
📄 Лицензия
Данный проект лицензирован в соответствии с лицензией MIT .
Resources
Unclaimed servers have limited discoverability.
Looking for Admin?
If you are the server author, to access and configure the admin panel.