SentinelOne MCP Konektor

Propojuje SentinelOne s AI asistentem přes Model Context Protocol. SOC analytici a bezpečnostní týmy tak pracují se SentinelOne přirozeným jazykem — bez přepínání mezi konzolemi a psaní skriptů na míru. Napojeno přímo na SentinelOne Management API v2.1.

Co to v praxi znamená

Reakce na incident, která dřív vyžadovala otevřít konzoli, ručně vyhledat hrozbu, ověřit stav endpointu a pak teprve rozhodnout o dalším postupu, se smrskne na jeden dotaz. Rutinní úkoly — prohledávání logů, inventarizace zranitelných aplikací, příprava reportů — lze delegovat bez psaní jediného řádku kódu.

Méně zkušení členové týmu mohou vyšetřovat incidenty bez rizika nechtěné destruktivní akce. Před každou izolací nebo mitigací konektor vyžaduje potvrzení.

Příklady dotazů

claude-desktop · sentinelone-mcp

› Ukaž mi všechny aktivní hrozby z posledních 24 hodin a jejich stav.
› Izoluj endpoint DESKTOP-XYZ od sítě a zahaj sken.
› Vyhledej v Deep Visibility spuštění powershell.exe se síťovou
  aktivitou za poslední týden.
› Jaké aplikace se zranitelnostmi jsou nainstalované v síti?
› Přidej hash souboru do blocklist a vytvoř výjimku pro cestu
  C:\Tools\admin.exe.
› Kolik endpointů je offline a na jakých OS běží?

Přehled modulů

Správa endpointů

Vyhledávání agentů podle OS, síťového stavu, site či textu
Síťová izolace (quarantine) a obnovení připojení
Spuštění full disk skenu a vzdálený restart
Inventář nainstalovaných aplikací
Přístupová fráze pro odinstalaci agenta

Správa hrozeb

Filtrování podle klasifikace, statusu, verdiktu a času
Mitigace: kill process, quarantine, remediation, rollback
Nastavení verdiktu (TP / FP / suspicious / undefined)
Blocklist podle content hash
Timeline procesů pro konkrétní hrozbu

Alerty (CDR)

Vyhledávání podle závažnosti, verdiktu a stavu
Nastavení verdiktu a stavu incidentu
Integrace s Cloud Detection & Response

Deep Visibility

S1QL dotazy na telemetrická data
Sledování a zrušení běžícího dotazu
Stránkované načítání výsledků
Zkrácený průchod create → poll → fetch

Aplikace & zranitelnosti

Aplikace s CVE napříč organizací
Inventář CVE a nainstalovaného SW
Rizikové skóre aplikací

Výjimky, blocklist & správa

Výjimky podle cesty, hashe, certifikátu
Účty, lokality a skupiny agentů
Auditní log aktivit

Technické parametry

Protokol

Model Context Protocol (MCP)

API

SentinelOne Management API v2.1

Minimální Python

3.11

Komunikace

HTTPS, asynchronní (httpx)

Autentizace

API token (Bearer)

Stránkování

Cursor-based, až 200 záznamů na stránku

SSL

Konfigurovatelné (vč. podpory corporate proxy)

Kompatibilní klienti

Claude (Anthropic) a libovolný MCP-kompatibilní klient

Záruky provozu

Destruktivní akce (izolace, mitigace, mazání) vyžadují explicitní potvrzení. Credentials nejsou součástí kódu, načítají se z prostředí nebo konfiguračního souboru. Veškerá komunikace probíhá přímo mezi klientem a SentinelOne tenantem zákazníka — bez mezivrstev a bez exportu dat třetím stranám.