Security Copilot MCP Server

セキュリティコパイロットとセンチネルMCPサーバー

Azure Identity Authentication を使用して Microsoft Security Copilot および Microsoft Sentinel との統合を提供する、FastMCP ライブラリを使用する Python ベースの MCP サーバー。

概要

このプロジェクトでは、次の機能を実現する MCP サーバーを実装します。

• Microsoft Sentinel に対して KQL クエリを実行する
• Microsoft Security Copilot スキルセット/プラグインのアップロード/更新
• Microsoft Security Copilot でプロンプトとスキルを実行する

このサーバーは開発環境とMicrosoft Security Copilotの間の橋渡しとして機能し、スキルとプラグインのテスト、展開、実行を可能にします。MCPサーバーのトランスポート層にはSSEを使用します。現在の統合には多くのユースケースがありますが、最も興味深いユースケースの一つは、Security Copilot KQLスキルの開発、テスト、展開をサポートすることです。

特徴

• Sentinel 統合: Sentinel ワークスペースに対して KQL クエリを実行します
• セキュリティコパイロット管理：
  • 既存のスキルセット/プラグインを一覧表示する
  • 新しいスキルセット/プラグインをアップロードするか、既存のスキルセット/プラグインを更新する
  • Security Copilot 内でプロンプトまたはスキルを実行する
• 認証サポート: インタラクティブブラウザ、クライアントシークレット、マネージドIDを含む複数の認証方法

ロードマップ

次の機能が含まれます:

• プロンプトブックのテストとアップデート
• Defender XDRでAdvance Huntingクエリを実行する

前提条件

• Python 3.8以上
• Microsoft Sentinel ワークスペース
• Microsoft Security Copilot アクセス
• Sentinel と Security Copilot の適切な Azure 権限

インストール

1. リポジトリをクローンします。
   git clone https://github.com/jguimera/SecurityCopilotMCPServer.git cd SecurityCopilotMCPServer
2. 依存関係をインストールします:
   pip install -r requirements.txt
3. 次の構成で.envファイルを作成します。
   #Add App Reg to use ClientID and Secret authentication #AZURE_TENANT_ID=your_tenant_id #AZURE_CLIENT_ID=your_client_id #AZURE_CLIENT_SECRET=your_client_secret SENTINEL_SUBSCRIPTION_ID=your_subscription_id SENTINEL_RESOURCE_GROUP=your_resource_group SENTINEL_WORKSPACE_NAME=your_workspace_name SENTINEL_WORKSPACE_ID=your_workspace_id #Authentication Options: interactive, client_secret AUTHENTICATION_TYPE=interactive

使用法

サーバーの起動

MCP サーバーを実行します。

サーバーを起動する前にテストを実行するには:

利用可能なツール

MCP サーバーは次のツールを提供します。

1. run_sentinel_query : SentinelでKQLクエリを実行する
2. get_skillsets : Security Copilot のスキルセットを一覧表示する
3. upload_plugin : スキルセット/プラグインをアップロードまたは更新する
4. run_prompt : Security Copilot でプロンプトまたはスキルを実行する

カーソルのMCPクライアント設定

このMCPサーバーは、お好みのクライアントからご利用いただけます。このリポジトリには、Cursorの説明書と設定ファイルが含まれています。

MCPツールを有効にするには、クライアントプロジェクト内に.cursorフォルダを追加してください。このフォルダには以下の2つのファイルが含まれています。

1. カーソル プロジェクト ルール (securitycopilotdev.mdc): このファイルには、エージェントがプロセスを定義し、ユーザー プロンプトを理解するのに役立つカスタム カーソル ルールがいくつか含まれています。
2. MCP クライアント構成 (mcp.json): Cursor を MCP サーバーに接続するファイル。

/tool_name パラメータ1="ツールパラメータの値" を使用してツールを直接呼び出すことができます。例: /run_prompt コンテンツ="最近のリスクのあるユーザーを一覧表示する"

詳細情報: https://docs.cursor.com/context/model-context-protocol#configuring-mcp-servers

貢献

貢献を歓迎します！お気軽にプルリクエストを送信してください。

1. リポジトリをフォークする
2. 機能ブランチを作成します（ git checkout -b feature/amazing-feature ）
3. 変更をコミットします ( git commit -m 'Add some amazing feature' )
4. ブランチにプッシュする ( git push origin feature/amazing-feature )
5. プルリクエストを開く

ライセンス

このプロジェクトは MIT ライセンスに基づいてライセンスされています - 詳細については LICENSE ファイルを参照してください。