Servidor Security Copilot y Sentinel MCP

Un servidor MCP basado en Python que utiliza la biblioteca FastMCP que proporciona integración con Microsoft Security Copilot y Microsoft Sentinel mediante la autenticación de identidad de Azure. Diagrama

Descripción general

Este proyecto implementa un servidor MCP que permite:

Ejecución de consultas KQL contra Microsoft Sentinel
Cargar/actualizar conjuntos de habilidades/complementos de Microsoft Security Copilot
Indicaciones y habilidades en ejecución en Microsoft Security Copilot

El servidor actúa como puente entre los entornos de desarrollo y Microsoft Security Copilot, lo que permite la prueba, la implementación y la ejecución de habilidades y complementos. Utiliza SSE como capa de transporte para el servidor MCP. La integración actual ofrece numerosos casos de uso. Uno de los más interesantes es el apoyo al desarrollo, la prueba y la implementación de las habilidades KQL de Security Copilot.

Flujo de agente1 Flujo de agente2

Related MCP server: MCP Builder

Características

Integración con Sentinel : ejecute consultas KQL en su espacio de trabajo de Sentinel
Gestión del copiloto de seguridad :
- Enumere los conjuntos de habilidades/complementos existentes
- Cargar conjuntos de habilidades/complementos nuevos o actualizar los existentes
- Ejecutar indicaciones o habilidades dentro de Security Copilot
Soporte de autenticación : Múltiples métodos de autenticación que incluyen navegador interactivo, secreto de cliente e identidad administrada

Hoja de ruta

Las próximas características incluirán:

Prueba y actualización de Promptbook
Ejecutar consultas de búsqueda avanzada en Defender XDR

Prerrequisitos

Python 3.8+
Espacio de trabajo de Microsoft Sentinel
Acceso a Microsoft Security Copilot
Permisos de Azure adecuados para Sentinel y Security Copilot

Instalación

Clonar el repositorio:
git clone https://github.com/jguimera/SecurityCopilotMCPServer.git cd SecurityCopilotMCPServer
Instalar dependencias:
pip install -r requirements.txt
Cree un archivo .env con la siguiente configuración:
#Add App Reg to use ClientID and Secret authentication #AZURE_TENANT_ID=your_tenant_id #AZURE_CLIENT_ID=your_client_id #AZURE_CLIENT_SECRET=your_client_secret SENTINEL_SUBSCRIPTION_ID=your_subscription_id SENTINEL_RESOURCE_GROUP=your_resource_group SENTINEL_WORKSPACE_NAME=your_workspace_name SENTINEL_WORKSPACE_ID=your_workspace_id #Authentication Options: interactive, client_secret AUTHENTICATION_TYPE=interactive

Uso

Iniciando el servidor

Ejecute el servidor MCP:

python server.py

Para ejecutar pruebas antes de iniciar el servidor:

python server.py --run-tests

Herramientas disponibles

El servidor MCP proporciona las siguientes herramientas:

run_sentinel_query : Ejecutar consultas KQL en Sentinel
get_skillsets : Lista de conjuntos de habilidades en Security Copilot
upload_plugin : Cargar o actualizar un conjunto de habilidades/complemento
run_prompt : Ejecutar un mensaje o habilidad en Security Copilot

Configuración del cliente MCP para el cursor

Puedes usar este servidor MCP desde el cliente que prefieras. En este repositorio encontrarás instrucciones y archivos de configuración para Cursor.

Agregue la carpeta .cursor a su proyecto cliente para habilitar las herramientas MCP. Esta carpeta contiene dos archivos:

Reglas del proyecto del cursor (securitycopilotdev.mdc): este archivo incluye algunas reglas de cursor personalizadas para ayudar a los agentes en la definición del proceso y la comprensión de las indicaciones del usuario.
Configuración del cliente MCP (mcp.json): archivo que conecta Cursor al servidor MCP.

Puede invocar la herramienta directamente usando /tool_name parámetro1="Valor del parámetro de la herramienta" Por ejemplo: /run_prompt contenido="Enumerar los usuarios de riesgo más recientes"

Más información: https://docs.cursor.com/context/model-context-protocol#configuring-mcp-servers