Programové použití optimalizací SOC (Preview)
Pomocí rozhraní API služby Microsoft Sentinel recommendations můžete programově pracovat s doporučeními pro optimalizaci SOC, což vám pomůže uzavřít mezery v pokrytí před konkrétními hrozbami a zpřísnit míru příjmu dat. Můžete získat podrobnosti o všech aktuálních doporučeních napříč vašimi pracovními prostory nebo konkrétním doporučením optimalizace SOC nebo můžete doporučení znovu vyhodnotit, pokud jste ve svém prostředí provedli změny.
Například pomocí recommendations rozhraní API můžete:
- Vytváření vlastních sestav a řídicích panelů Viz Vizualizujte například vlastní data optimalizace SOC.
- Integrace s nástroji třetích stran, jako jsou služby SOAR a ITSM
- Získejte automatizovaný přístup k datům optimalizace SOC v reálném čase, aktivujte vyhodnocení a okamžitě reagovali na návrhy.
Pro zákazníky nebo mssp, kteří spravují více prostředí, recommendations poskytuje rozhraní API škálovatelný způsob, jak zpracovávat doporučení napříč několika pracovními prostory. Můžete také exportovat data z rozhraní API a uložit je externě pro účely auditu, archivace nebo sledování trendů.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Rozhraní recommendations API je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Získání, aktualizace nebo opětovné hodnocení doporučení
K programové interakci s doporučeními pro optimalizaci SOC použijte následující příklady recommendations rozhraní API:
Získejte seznam všech aktuálních doporučení pro optimalizaci SOC ve vašem pracovním prostoru:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsZískejte konkrétní doporučení podle ID doporučení:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Hodnotu ID doporučení najdete tak, že nejprve zobrazíte seznam všech doporučení ve vašem pracovním prostoru.
Aktualizujte stav doporučení na Aktivní, Probíhá, Dokončeno, Zamítnuto nebo Opětovná aktivace:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Ruční aktivace vyhodnocení pro konkrétní doporučení:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Vizualizace vlastních dat optimalizace SOC
Optimalizační sešit Microsoft Sentinelu recommendations používá rozhraní API k vizualizaci dat optimalizace SOC. Nainstalujte a přizpůsobte sešit v pracovním prostoru a vytvořte vlastní řídicí panel optimalizace SOC.
V sešitech Optimalizace služby Microsoft Sentinel vyberte kartu Optimalizace SOC a rozbalte položky v části Podrobnosti, abyste mohli přejít k podrobnostem, abyste zobrazili data optimalizace SOC. Upravte sešit a upravte data zobrazená podle potřeby pro vaši organizaci.
Příklad:
Další informace naleznete v tématu:
- Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
- Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu
Související obsah
Další informace naleznete v tématu: