SentinelOne MCP Konektor

Propojuje SentinelOne s AI asistentem přes Model Context Protocol. SOC analytici a bezpečnostní týmy tak pracují se SentinelOne přirozeným jazykem — bez přepínání mezi konzolemi a psaní skriptů na míru. Napojeno přímo na SentinelOne Management API v2.1.

Co to v praxi znamená

Reakce na incident, která dřív vyžadovala otevřít konzoli, ručně vyhledat hrozbu, ověřit stav endpointu a pak teprve rozhodnout o dalším postupu, se smrskne na jeden dotaz. Rutinní úkoly — prohledávání logů, inventarizace zranitelných aplikací, příprava reportů — lze delegovat bez psaní jediného řádku kódu.

Méně zkušení členové týmu mohou vyšetřovat incidenty bez rizika nechtěné destruktivní akce. Před každou izolací nebo mitigací konektor vyžaduje potvrzení.

MCP konektor slouží také jako základ pro SOC Analyst v-03 — tříúrovňový AI tým (L1 / L2 / L3), který přístup k API orchestruje autonomně.

Příklady dotazů

claude-desktop · sentinelone-mcp

› Ukaž mi všechny aktivní hrozby z posledních 24 hodin a jejich stav.
› Izoluj endpoint DESKTOP-XYZ od sítě a zahaj sken.
› Vyhledej v Deep Visibility spuštění powershell.exe se síťovou
  aktivitou za poslední týden.
› Jaké aplikace se zranitelnostmi jsou nainstalované v síti?
› Přidej hash souboru do blocklist a vytvoř výjimku pro cestu
  C:\Tools\admin.exe.
› Kolik endpointů je offline a na jakých OS běží?

Přehled modulů

Správa endpointů

Vyhledávání agentů podle OS, síťového stavu, site či textu
Síťová izolace (quarantine) a obnovení připojení
Spuštění full disk skenu a vzdálený restart
Inventář nainstalovaných aplikací
Přístupová fráze pro odinstalaci agenta

Správa hrozeb

Filtrování podle klasifikace, statusu, verdiktu a času
Mitigace: kill process, quarantine, remediation, rollback
Nastavení verdiktu (TP / FP / suspicious / undefined)
Blocklist podle content hash
Timeline procesů pro konkrétní hrozbu

Alerty (CDR)

Vyhledávání podle závažnosti, verdiktu a stavu
Nastavení verdiktu a stavu incidentu
Integrace s Cloud Detection & Response

Deep Visibility

S1QL dotazy na telemetrická data
Sledování a zrušení běžícího dotazu
Stránkované načítání výsledků
Zkrácený průchod create → poll → fetch

Aplikace & zranitelnosti

Aplikace s CVE napříč organizací
Inventář CVE a nainstalovaného SW
Rizikové skóre aplikací

Výjimky, blocklist & správa

Výjimky podle cesty, hashe, certifikátu
Účty, lokality a skupiny agentů
Auditní log aktivit

Technické parametry

Protokol

Model Context Protocol (MCP)

API

SentinelOne Management API v2.1

Minimální Python

3.11

Komunikace

HTTPS, asynchronní (httpx)

Autentizace

API token (Bearer)

Stránkování

Cursor-based, až 200 záznamů na stránku

SSL

Konfigurovatelné (vč. podpory corporate proxy)

Kompatibilní klienti

Claude (Anthropic) a libovolný MCP-kompatibilní klient

Záruky provozu

Destruktivní akce (izolace, mitigace, mazání) vyžadují explicitní potvrzení. Credentials nejsou součástí kódu, načítají se z prostředí nebo konfiguračního souboru. Veškerá komunikace probíhá přímo mezi klientem a SentinelOne tenantem zákazníka — bez mezivrstev a bez exportu dat třetím stranám.