다음을 통해 공유


프로그래밍 방식으로 SOC 최적화 사용(미리 보기)

Microsoft Sentinel recommendations API를 사용하여 SOC 최적화 권장 사항과 프로그래밍 방식으로 상호 작용하여 특정 위협에 대한 적용 범위 격차를 해소하고 수집 속도를 높일 수 있습니다. 작업 영역의 모든 현재 권장 사항 또는 특정 SOC 최적화 권장 사항에 대한 세부 정보를 얻거나 환경이 변경된 경우 권장 사항을 다시 평가하면 됩니다.

예를 들어 recommendations API를 사용하여 다음을 수행합니다.

  • 사용자 지정 보고서 및 대시보드를 빌드합니다. 예를 들어 사용자 지정 SOC 최적화 데이터 시각화를 참조하세요.
  • SOAR 및 ITSM 서비스와 같은 타사 도구와 통합
  • SOC 최적화 데이터에 대한 실시간으로 자동으로 액세스하여 평가를 트리거하고 제안에 즉시 응답합니다.

여러 환경을 관리하는 고객 또는 MSSP의 경우 recommendations API는 여러 작업 영역에서 권장 사항을 처리할 수 있는 확장 가능한 방법을 제공합니다. API에서 데이터를 내보내고 감사, 보관 또는 추세를 추적하기 위해 외부에 저장할 수도 있습니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

recommendations API는 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

권장 사항 가져오기, 업데이트 또는 다시 평가

프로그래밍 방식으로 SOC 최적화 권장 사항과 상호 작용하려면 recommendations API의 다음 예제를 사용합니다.

  • 작업 영역에서 모든 현재 SOC 최적화 권장 사항 목록을 가져옵니다.

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
    
  • 권장 사항 ID에 따라 특정 권장 사항을 가져옵니다.

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    

    먼저 작업 영역에서 모든 권장 사항 목록을 가져오면 권장 사항의 ID 값을 찾습니다.

  • 권장 사항의 상태를 활성, 진행 중, 완료, 해제 또는 다시 활성화로 업데이트합니다.

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    
  • 특정 권장 사항에 대한 평가를 수동으로 트리거합니다.

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
    

사용자 지정 SOC 최적화 데이터 시각화

Microsoft Sentinel 최적화 통합 문서recommendations API를 사용하여 SOC 최적화 데이터를 시각화합니다. 작업 영역에 통합 문서를 설치하고 사용자 지정하여 사용자 지정 SOC 최적화 대시보드를 만듭니다.

Microsoft Sentinel 최적화 통합 문서에서 SOC 최적화 탭을 선택하고 세부 정보 아래의 항목을 확장하여 SOC 최적화 데이터를 보려면 드릴다운합니다. 통합 문서를 편집하여 조직에 필요한 대로 표시된 데이터를 수정합니다.

예시:

Microsoft Sentinel 최적화 통합 문서의 스크린샷.

자세한 내용은 다음을 참조하세요.

자세한 내용은 다음을 참조하세요.