セキュリティコパイロットとセンチネルMCPサーバー

Azure Identity Authentication を使用して Microsoft Security Copilot および Microsoft Sentinel との統合を提供する、FastMCP ライブラリを使用する Python ベースの MCP サーバー。

概要

このプロジェクトでは、次の機能を実現する MCP サーバーを実装します。

• Microsoft Sentinel に対して KQL クエリを実行する

• Microsoft Security Copilot スキルセット/プラグインのアップロード/更新

• Microsoft Security Copilot でプロンプトとスキルを実行する

このサーバーは開発環境とMicrosoft Security Copilotの間の橋渡しとして機能し、スキルとプラグインのテスト、展開、実行を可能にします。MCPサーバーのトランスポート層にはSSEを使用します。現在の統合には多くのユースケースがありますが、最も興味深いユースケースの一つは、Security Copilot KQLスキルの開発、テスト、展開をサポートすることです。

Related MCP server: MCP Builder

特徴

• Sentinel 統合: Sentinel ワークスペースに対して KQL クエリを実行します

• セキュリティコパイロット管理：

  • 既存のスキルセット/プラグインを一覧表示する

  • 新しいスキルセット/プラグインをアップロードするか、既存のスキルセット/プラグインを更新する

  • Security Copilot 内でプロンプトまたはスキルを実行する

• 認証サポート: インタラクティブブラウザ、クライアントシークレット、マネージドIDを含む複数の認証方法

ロードマップ

次の機能が含まれます:

• プロンプトブックのテストとアップデート

• Defender XDRでAdvance Huntingクエリを実行する

前提条件

• Python 3.8以上

• Microsoft Sentinel ワークスペース

• Microsoft Security Copilot アクセス

• Sentinel と Security Copilot の適切な Azure 権限

インストール

1. リポジトリをクローンします。

   git clone https://github.com/jguimera/SecurityCopilotMCPServer.git cd SecurityCopilotMCPServer

2. 依存関係をインストールします:

   pip install -r requirements.txt

3. 次の構成で.envファイルを作成します。

   #Add App Reg to use ClientID and Secret authentication #AZURE_TENANT_ID=your_tenant_id #AZURE_CLIENT_ID=your_client_id #AZURE_CLIENT_SECRET=your_client_secret SENTINEL_SUBSCRIPTION_ID=your_subscription_id SENTINEL_RESOURCE_GROUP=your_resource_group SENTINEL_WORKSPACE_NAME=your_workspace_name SENTINEL_WORKSPACE_ID=your_workspace_id #Authentication Options: interactive, client_secret AUTHENTICATION_TYPE=interactive

使用法

サーバーの起動

MCP サーバーを実行します。

サーバーを起動する前にテストを実行するには:

利用可能なツール

MCP サーバーは次のツールを提供します。

1. run_sentinel_query : SentinelでKQLクエリを実行する

2. get_skillsets : Security Copilot のスキルセットを一覧表示する

3. upload_plugin : スキルセット/プラグインをアップロードまたは更新する

4. run_prompt : Security Copilot でプロンプトまたはスキルを実行する

カーソルのMCPクライアント設定

このMCPサーバーは、お好みのクライアントからご利用いただけます。このリポジトリには、Cursorの説明書と設定ファイルが含まれています。

MCPツールを有効にするには、クライアントプロジェクト内に.cursorフォルダを追加してください。このフォルダには以下の2つのファイルが含まれています。

1. カーソル プロジェクト ルール (securitycopilotdev.mdc): このファイルには、エージェントがプロセスを定義し、ユーザー プロンプトを理解するのに役立つカスタム カーソル ルールがいくつか含まれています。

2. MCP クライアント構成 (mcp.json): Cursor を MCP サーバーに接続するファイル。

/tool_name パラメータ1="ツールパラメータの値" を使用してツールを直接呼び出すことができます。例: /run_prompt コンテンツ="最近のリスクのあるユーザーを一覧表示する"

詳細情報: https://docs.cursor.com/context/model-context-protocol#configuring-mcp-servers

貢献

貢献を歓迎します！お気軽にプルリクエストを送信してください。

1. リポジトリをフォークする

2. 機能ブランチを作成します（ git checkout -b feature/amazing-feature ）

3. 変更をコミットします ( git commit -m 'Add some amazing feature' )

4. ブランチにプッシュする ( git push origin feature/amazing-feature )

5. プルリクエストを開く

ライセンス

このプロジェクトは MIT ライセンスに基づいてライセンスされています - 詳細については LICENSE ファイルを参照してください。