Servidor Security Copilot y Sentinel MCP

Un servidor MCP basado en Python que utiliza la biblioteca FastMCP que proporciona integración con Microsoft Security Copilot y Microsoft Sentinel mediante la autenticación de identidad de Azure.

Descripción general

Este proyecto implementa un servidor MCP que permite:

• Ejecución de consultas KQL contra Microsoft Sentinel

• Cargar/actualizar conjuntos de habilidades/complementos de Microsoft Security Copilot

• Indicaciones y habilidades en ejecución en Microsoft Security Copilot

El servidor actúa como puente entre los entornos de desarrollo y Microsoft Security Copilot, lo que permite la prueba, la implementación y la ejecución de habilidades y complementos. Utiliza SSE como capa de transporte para el servidor MCP. La integración actual ofrece numerosos casos de uso. Uno de los más interesantes es el apoyo al desarrollo, la prueba y la implementación de las habilidades KQL de Security Copilot.

Características

• Integración con Sentinel : ejecute consultas KQL en su espacio de trabajo de Sentinel

• Gestión del copiloto de seguridad :

  • Enumere los conjuntos de habilidades/complementos existentes

  • Cargar conjuntos de habilidades/complementos nuevos o actualizar los existentes

  • Ejecutar indicaciones o habilidades dentro de Security Copilot

• Soporte de autenticación : Múltiples métodos de autenticación que incluyen navegador interactivo, secreto de cliente e identidad administrada

Hoja de ruta

Las próximas características incluirán:

• Prueba y actualización de Promptbook

• Ejecutar consultas de búsqueda avanzada en Defender XDR

Prerrequisitos

• Python 3.8+

• Espacio de trabajo de Microsoft Sentinel

• Acceso a Microsoft Security Copilot

• Permisos de Azure adecuados para Sentinel y Security Copilot

Instalación

1. Clonar el repositorio:

   git clone https://github.com/jguimera/SecurityCopilotMCPServer.git cd SecurityCopilotMCPServer

2. Instalar dependencias:

   pip install -r requirements.txt

3. Cree un archivo .env con la siguiente configuración:

   #Add App Reg to use ClientID and Secret authentication #AZURE_TENANT_ID=your_tenant_id #AZURE_CLIENT_ID=your_client_id #AZURE_CLIENT_SECRET=your_client_secret SENTINEL_SUBSCRIPTION_ID=your_subscription_id SENTINEL_RESOURCE_GROUP=your_resource_group SENTINEL_WORKSPACE_NAME=your_workspace_name SENTINEL_WORKSPACE_ID=your_workspace_id #Authentication Options: interactive, client_secret AUTHENTICATION_TYPE=interactive

Uso

Iniciando el servidor

Ejecute el servidor MCP:

Para ejecutar pruebas antes de iniciar el servidor:

Herramientas disponibles

El servidor MCP proporciona las siguientes herramientas:

1. run_sentinel_query : Ejecutar consultas KQL en Sentinel

2. get_skillsets : Lista de conjuntos de habilidades en Security Copilot

3. upload_plugin : Cargar o actualizar un conjunto de habilidades/complemento

4. run_prompt : Ejecutar un mensaje o habilidad en Security Copilot

Configuración del cliente MCP para el cursor

Puedes usar este servidor MCP desde el cliente que prefieras. En este repositorio encontrarás instrucciones y archivos de configuración para Cursor.

Agregue la carpeta .cursor a su proyecto cliente para habilitar las herramientas MCP. Esta carpeta contiene dos archivos:

1. Reglas del proyecto del cursor (securitycopilotdev.mdc): este archivo incluye algunas reglas de cursor personalizadas para ayudar a los agentes en la definición del proceso y la comprensión de las indicaciones del usuario.

2. Configuración del cliente MCP (mcp.json): archivo que conecta Cursor al servidor MCP.

Puede invocar la herramienta directamente usando /tool_name parámetro1="Valor del parámetro de la herramienta" Por ejemplo: /run_prompt contenido="Enumerar los usuarios de riesgo más recientes"

Más información: https://docs.cursor.com/context/model-context-protocol#configuring-mcp-servers

Contribuyendo

¡Agradecemos sus contribuciones! No dude en enviar una solicitud de incorporación de cambios.

1. Bifurcar el repositorio

2. Crea tu rama de funciones ( git checkout -b feature/amazing-feature )

3. Confirme sus cambios ( git commit -m 'Add some amazing feature' )

4. Empujar a la rama ( git push origin feature/amazing-feature )

5. Abrir una solicitud de extracción

Licencia

Este proyecto está licenciado bajo la licencia MIT: consulte el archivo de LICENCIA para obtener más detalles.