Utiliser des optimisations de SOC par programmation (préversion)
Utilisez l’API recommendations
Microsoft Sentinel pour interagir par programmation avec les recommandations d’optimisation de SOC, ce qui vous permet de combler les lacunes de couverture contre des menaces spécifiques et de renforcer les taux d’ingestion. Vous pouvez obtenir des détails sur toutes les recommandations actuelles sur vos espaces de travail ou une recommandation d’optimisation de SOC spécifique, ou vous pouvez réévaluer une recommandation si vous avez apporté des modifications dans votre environnement.
Par exemple, utilisez l’API recommendations
pour :
- Créer des rapports et des tableaux de bord personnalisés. Par exemple, consultez Visualiser les données d’optimisation de SOC personnalisées.
- Intégrer à des outils tiers, tels que pour les services SOAR et ITSM
- Obtenir un accès automatisé et en temps réel aux données d’optimisation de SOC, déclencher des évaluations et répondre rapidement aux suggestions
Pour les clients ou les MSSP gérant plusieurs environnements, l’API recommendations
offre un moyen évolutif de gérer les recommandations sur plusieurs espaces de travail. Vous pouvez également exporter des données à partir de l’API et les stocker en externe pour l’audit, l’archivage ou le suivi des tendances.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
L’API recommendations
est en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Obtenir, mettre à jour ou réévaluer les recommandations
Utilisez les exemples suivants de l’API recommendations
pour interagir avec les recommandations d’optimisation de SOC par programmation :
Obtenez la liste de toutes les recommandations d’optimisation de SOC actuelles dans votre espace de travail :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations
Obtenez une recommandation spécifique par ID de recommandation :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}
Recherchez d’abord la valeur d’ID d’une recommandation en obtenant la liste de toutes les recommandations dans votre espace de travail.
Mettez à jour l’état d’une recommandation sur Actif, En cours, Terminé, Ignoré ou Réactiver :
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}
Déclenchez manuellement une évaluation pour une recommandation spécifique :
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualiser les données d’optimisation de SOC personnalisées
Le classeur d’optimisation Microsoft Sentinel utilise l’API recommendations
pour visualiser les données d’optimisation de SOC. Installez et personnalisez le classeur dans votre espace de travail pour créer votre propre tableau de bord d’optimisation de SOC personnalisé.
Dans les Classeurs d’optimisation Microsoft Sentinel, sélectionnez l’onglet Optimisation SOC et développez les éléments sous Détails pour explorer les données d’optimisation de SOC. Modifiez le classeur pour changer les données affichées selon les besoins de votre organisation.
Par exemple :
Pour plus d’informations, consultez l’article suivant :
- Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
- Visualisez et supervisez vos données à l’aide de classeurs dans Microsoft Sentinel.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :