Compartir a través de


Uso de optimizaciones del SOC mediante programación (versión preliminar)

Use la API de Microsoft Sentinel recommendations para interactuar mediante programación con las recomendaciones de optimización del SOC, lo que le ayuda a cerrar las brechas de cobertura frente a amenazas específicas y a reforzar las tasas de ingesta. Puede obtener detalles sobre todas las recomendaciones actuales en las áreas de trabajo o una recomendación de optimización del SOC específica, o bien puede volver a evaluar una recomendación si ha realizado cambios en el entorno.

Por ejemplo, use la API recommendations para:

  • Crear informes y paneles personalizados. Por ejemplo, consulte Visualización de datos de optimización del SOC personalizados.
  • Integración con herramientas de terceros, como para servicios SOAR y ITSM
  • Obtenga acceso automatizado y en tiempo real a los datos de optimización de SOC, desencadene evaluaciones y responda rápidamente a las sugerencias.

Para clientes o MSSP que administran varios entornos, la API recommendations proporciona una manera escalable de controlar las recomendaciones en varias áreas de trabajo. También puede exportar datos desde la API y almacenarlos externamente para las tendencias de auditoría, archivado o seguimiento.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

La API recommendations está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Obtención, actualización o reevaluación de recomendaciones

Use los ejemplos siguientes de la API recommendations para interactuar con las recomendaciones de optimización del SOC mediante programación:

  • Obtenga una lista de todas las recomendaciones actuales de optimización del SOC en el área de trabajo:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
    
  • Obtener una recomendación específica por identificador de recomendación:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    

    Busque el valor de identificador de una recomendación obteniendo primero una lista de todas las recomendaciones del área de trabajo.

  • Actualice el estado de una recomendación a Active, In Progress, Completed, Dismissedo Reactivate:

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    
  • Desencadene manualmente una evaluación para una recomendación específica:

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
    

Visualización de datos de optimización del SOC personalizados

El libro de optimización de Microsoft Sentinel usa la API recommendations para visualizar los datos de optimización del SOC. Instale y personalice el libro en el área de trabajo para crear su propio panel de optimización del SOC personalizado.

En los libros de optimización de Microsoft Sentinel, seleccione la pestaña Optimización del SOC y expanda los elementos de Detalles para explorar en profundidad para ver los datos de optimización del SOC. Edite el libro para modificar los datos que se muestran según sea necesario para su organización.

Por ejemplo:

Captura de pantalla del libro de optimización de Microsoft Sentinel.

Para más información, vea:

Para más información, vea: