Partager via


Utiliser des optimisations de SOC par programmation (préversion)

Utilisez l’API recommendations Microsoft Sentinel pour interagir par programmation avec les recommandations d’optimisation de SOC, ce qui vous permet de combler les lacunes de couverture contre des menaces spécifiques et de renforcer les taux d’ingestion. Vous pouvez obtenir des détails sur toutes les recommandations actuelles sur vos espaces de travail ou une recommandation d’optimisation de SOC spécifique, ou vous pouvez réévaluer une recommandation si vous avez apporté des modifications dans votre environnement.

Par exemple, utilisez l’API recommendations pour :

  • Créer des rapports et des tableaux de bord personnalisés. Par exemple, consultez Visualiser les données d’optimisation de SOC personnalisées.
  • Intégrer à des outils tiers, tels que pour les services SOAR et ITSM
  • Obtenir un accès automatisé et en temps réel aux données d’optimisation de SOC, déclencher des évaluations et répondre rapidement aux suggestions

Pour les clients ou les MSSP gérant plusieurs environnements, l’API recommendations offre un moyen évolutif de gérer les recommandations sur plusieurs espaces de travail. Vous pouvez également exporter des données à partir de l’API et les stocker en externe pour l’audit, l’archivage ou le suivi des tendances.

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

L’API recommendations est en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Obtenir, mettre à jour ou réévaluer les recommandations

Utilisez les exemples suivants de l’API recommendations pour interagir avec les recommandations d’optimisation de SOC par programmation :

  • Obtenez la liste de toutes les recommandations d’optimisation de SOC actuelles dans votre espace de travail :

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
    
  • Obtenez une recommandation spécifique par ID de recommandation :

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    

    Recherchez d’abord la valeur d’ID d’une recommandation en obtenant la liste de toutes les recommandations dans votre espace de travail.

  • Mettez à jour l’état d’une recommandation sur Actif, En cours, Terminé, Ignoré ou Réactiver :

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    
  • Déclenchez manuellement une évaluation pour une recommandation spécifique :

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
    

Visualiser les données d’optimisation de SOC personnalisées

Le classeur d’optimisation Microsoft Sentinel utilise l’API recommendations pour visualiser les données d’optimisation de SOC. Installez et personnalisez le classeur dans votre espace de travail pour créer votre propre tableau de bord d’optimisation de SOC personnalisé.

Dans les Classeurs d’optimisation Microsoft Sentinel, sélectionnez l’onglet Optimisation SOC et développez les éléments sous Détails pour explorer les données d’optimisation de SOC. Modifiez le classeur pour changer les données affichées selon les besoins de votre organisation.

Par exemple :

Capture d’écran du classeur d’optimisation Microsoft Sentinel.

Pour plus d’informations, consultez l’article suivant :

Pour plus d’informations, consultez l’article suivant :