SOC-optimalisaties programmatisch gebruiken (preview)
Gebruik de Microsoft Sentinel-API recommendations om programmatisch te communiceren met SOC-optimalisatieaanbeveling, zodat u hiaten in de dekking tegen specifieke bedreigingen kunt dichten en opnamepercentages kunt verhogen. U kunt details krijgen over alle huidige aanbevelingen in uw werkruimten of een specifieke aanbeveling voor SOC-optimalisatie, of u kunt een aanbeveling opnieuw controleren als u wijzigingen hebt aangebracht in uw omgeving.
Gebruik bijvoorbeeld de recommendations API om het volgende te doen:
- Aangepaste rapporten en dashboards maken. Zie Bijvoorbeeld Aangepaste SOC-optimalisatiegegevens visualiseren.
- Integreren met hulpprogramma's van derden, zoals voor SOAR- en ITSM-services
- Krijg geautomatiseerde, realtime toegang tot SOC-optimalisatiegegevens, activeert evaluaties en reageert onmiddellijk op de suggesties
Voor klanten of MSSP's die meerdere omgevingen beheren, biedt de recommendations API een schaalbare manier om aanbevelingen in meerdere werkruimten af te handelen. U kunt ook gegevens uit de API exporteren en extern opslaan voor controle, archivering of het bijhouden van trends.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
De recommendations API is in PREVIEW en gebruikt versie 2024-01-01-preview of hoger. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Aanbevelingen ophalen, bijwerken of opnieuw uitvoeren
Gebruik de volgende voorbeelden van de recommendationsAPI om programmatisch te communiceren met AANBEVELINGEN voor SOC-optimalisatie:
Bekijk een lijst met alle huidige AANBEVELINGEN voor SOC-optimalisatie in uw werkruimte:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewEen specifieke aanbeveling ophalen op aanbevelings-id:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Zoek de id-waarde van een aanbeveling door eerst een lijst met alle aanbevelingen in uw werkruimte op te halen.
Werk de status van een aanbeveling bij naar Actief, Wordt uitgevoerd, Voltooid, Gesloten of Opnieuw activeren:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Activeer handmatig een evaluatie voor een specifieke aanbeveling:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Aangepaste SOC-optimalisatiegegevens visualiseren
De Microsoft Sentinel Optimization-werkmap gebruikt de recommendations API om SOC-optimalisatiegegevens te visualiseren. Installeer en pas de werkmap in uw werkruimte aan om uw eigen aangepaste SOC-optimalisatiedashboard te maken.
Selecteer in de Microsoft Sentinel Optimization-werkmappen het tabblad SOC-optimalisatie en vouw de items onder Details uit om in te zoomen om SOC-optimalisatiegegevens weer te geven. Bewerk de werkmap om de gegevens te wijzigen die zo nodig voor uw organisatie worden weergegeven.
Voorbeeld:
Zie voor meer informatie:
- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
- Visualiseer en bewaak uw gegevens met behulp van werkmappen in Microsoft Sentinel.
Gerelateerde inhoud
Zie voor meer informatie: