はじめに
Sentinel MCP サーバーが一般提供となり、利用できるプラットフォームに Copilot Studio と Microsoft Foundry (旧 Azure AI Foundry) が追加されました。パブリック プレビュー時は VS Code がメインであったため、普段使い慣れていない方だとハードルが高かったのですが、カスタム エージェントを作成することで、普段の M365 Copilot や ChatGPT のようなアプリの 1 つとして使うことが可能になり、利用開始までのハードルを下げることが可能です。
そのため、今回はCopilot Studio から Sentienl MCP サーバーに接続するカスタム エージェントを作成していきます。
設定
Copilot Studio で [+ 作成] > [新しいエージェント] からエージェントを作成します。
[構成] に切り替え、分かりやすい名前を入力します。[作成] をクリックします。
作成後、[ツール] > [ツールを追加する] から Sentinel を検索、[Microsoft Sentinel - Data exploration...] を追加します。
[未接続] > [新しい接続を作成する] をクリックし、認証方法を選択、[作成] をクリックします。
認証画面が出てくるので、Sentinel を管理しているアカウントでログインします。
エージェントの概要ページに戻り、以下のように指示します。
あなたは Sentinel MCP サーバーを使用して、ユーザーが指示したログの分析を実行し、報告するエージェントです。以下の手順で処理を実行してください。
1. ユーザーが入力したプロンプトに基づきどのようなテーブルに対してログ検索を実施するか決定する
2. Sentinel MCP サーバーの "search_tables" ツールでログ検索を行うテーブルの構造を取得する
3. 取得したテーブル構造に基づき、KQL クエリを作成する
4. Sentinel MCP サーバーの "query_lake" ツールで KQL クエリを実行する
5. 取得した検索結果に基づき、報告内容をまとめる
6. 報告内容が不足してる場合、追加で取得すべき情報を整理し、2-5 を実行する
なお、4. のクエリ実行でエラーとなった場合、エラー文言を分析し再度 KQL クエリを作成・再実行する。
テスト実行
以下の指示を出してみます。なおモデルは GPT-4.1 を使用しています。
直近 1 件のインシデントを分析してください。
以下のようなフローで意図した通りに処理されていることが分かります。
-
テーブル情報の取得
-
クエリの実行
-
結果
モデルを GPT-5 Chat に切り替えます。若干アウトプットに分析の要素が含まれるようになりました。
ちなみにせっかくなので、Claude Sonnet 4.5 に切り替えてみます。
こちらだと、随時実行状況を報告してくれて、かつ再帰的に深い分析まで行ってくれるように見えます。
アウトプットはこちらです。他のモデルと比べると、かなり詳細な分析ができています。
利用イメージ
上記まではテスト利用でしたが、実際には作成したアプリを公開し、[チャネル] タブから M365 Copilot や Teams に展開し、そちらで他のエージェントと同様に利用する形になるかと思います。
まとめ
今回は Copilot Studio から Sentinel MCP サーバーを使用したエージェントを作成しました。機能としては Security Copilot の対話的な利用と同様のイメージかと思います。Security Copilot の E5 特典が発表され使いやすくなったものの、特典を持たない利用者にとっては Security Copilot は高価であるため、Copilot のライセンスをお持ちであれば、このようなエージェントを作成することも選択肢のひとつになるかと思います。
また Security Copilot ではモデルやシステム プロンプトのカスタマイズはできませんが、こちらの Copilot Studio では可能なので、より自社の運用に適したエージェントを作成できるかと思います。
Discussion