次の方法で共有

SOC 最適化をプログラムで使用する (プレビュー)

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel recommendations API を使用して、SOC 最適化の推奨事項をプログラムで操作すると、特定の脅威に対するカバレッジ ギャップを埋め、インジェスト率を強化できます。 ワークスペース全体の現在のすべての推奨事項または特定の SOC 最適化の推奨事項に関する詳細を取得できるだけではなく、環境に変更を加えた場合に推奨事項を再評価できます。

たとえば、recommendations API を使用して、以下を行います。

  • カスタム レポートとダッシュボードを作成する。 たとえば、「カスタム SOC 最適化データの視覚化」を参照してください。
  • SOAR サービスや ITSM サービスなど用に、サードパーティ製のツールと統合する
  • SOC 最適化データに自動的にリアルタイム アクセスし、評価をトリガーし、提案に迅速に対応する

複数の環境を管理しているお客様または MSSP の場合、recommendations API は、複数のワークスペース間で推奨事項を処理するスケーラブルな方法を提供します。 API からデータをエクスポートして、監査、アーカイブ、トレンド追跡用に外部に格納することもできます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

recommendations API はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

推奨事項の取得、更新、再評価

次の recommendations API の例を使用して、SOC 最適化の推奨事項をプログラムで使用します。

  • ワークスペースの現在の SOC 最適化の全推奨事項の一覧を取得します。

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • 推奨事項 ID により特定の推奨事項を取得します。

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    まず、ワークスペース内のすべての推奨事項の一覧を取得して、推奨事項の ID 値を見つけます。

  • 推奨事項の状態を "アクティブ"、"進行中"、"完了"、"却下"、または "再アクティブ化" に更新します。

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • 特定の推奨事項の評価を手動でトリガーします。

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

カスタム SOC 最適化データの視覚化

Microsoft Sentinel 最適化ブックでは recommendations API を使用して SOC 最適化データを視覚化します。 ワークスペースにブックをインストールしてカスタマイズし、独自のカスタム SOC 最適化ダッシュボードを作成します。

Microsoft Sentinel 最適化ブックでは、、[SOC 最適化] タブを選択し、[詳細] の下にある項目を展開して、SOC 最適化データにドリルダウンします。 組織の必要に応じて、表示されるデータを変更してブックを編集します。

次に例を示します。

Microsoft Sentinel 最適化ブックのスクリーンショット。

詳細については、以下を参照してください:

関連するコンテンツ

詳細については、以下を参照してください: