Programowe używanie optymalizacji SOC (wersja zapoznawcza)
Użyj interfejsu API usługi Microsoft Sentinel recommendations , aby programowo korzystać z zaleceń dotyczących optymalizacji SOC, pomagając w zamykaniu luk w zakresie określonych zagrożeń i zaostrzaniu współczynników pozyskiwania. Możesz uzyskać szczegółowe informacje na temat wszystkich bieżących zaleceń w obszarach roboczych lub konkretnego zalecenia dotyczącego optymalizacji SOC. Możesz też ponownie sprawdzić rekomendację, jeśli wprowadzono zmiany w środowisku.
Na przykład użyj interfejsu recommendations API, aby:
- Tworzenie niestandardowych raportów i pulpitów nawigacyjnych. Na przykład zobacz Wizualizowanie niestandardowych danych optymalizacji SOC.
- Integracja z narzędziami innych firm, takimi jak usługi SOAR i ITSM
- Uzyskaj zautomatyzowany, w czasie rzeczywistym dostęp do danych optymalizacji SOC, wyzwalanie ocen i szybkie reagowanie na sugestie
W przypadku klientów lub dostawców usług MSSP zarządzających recommendations wieloma środowiskami interfejs API zapewnia skalowalny sposób obsługi zaleceń w wielu obszarach roboczych. Możesz również wyeksportować dane z interfejsu API i przechowywać je zewnętrznie na potrzeby inspekcji, archiwizowania lub śledzenia trendów.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Interfejs recommendations API jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Pobieranie, aktualizowanie lub ponowne ewaluowanie zaleceń
Skorzystaj z poniższych przykładów interfejsu recommendations API, aby programowo korzystać z zaleceń dotyczących optymalizacji SOC:
Pobierz listę wszystkich bieżących zaleceń dotyczących optymalizacji SOC w obszarze roboczym:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsUzyskaj konkretne zalecenie według identyfikatora rekomendacji:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Znajdź wartość identyfikatora rekomendacji, najpierw uzyskując listę wszystkich zaleceń w obszarze roboczym.
Zaktualizuj stan rekomendacji na Aktywny, W toku, Ukończono, Odrzucono lub Uaktywnij ponownie:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Ręcznie wyzwól ocenę dla określonego zalecenia:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Wizualizowanie niestandardowych danych optymalizacji SOC
Skoroszyt optymalizacji usługi Microsoft Sentinel używa interfejsu recommendations API do wizualizacji danych optymalizacji SOC. Zainstaluj i dostosuj skoroszyt w obszarze roboczym, aby utworzyć własny niestandardowy pulpit nawigacyjny optymalizacji SOC.
W skoroszytach optymalizacji usługi Microsoft Sentinel wybierz kartę Optymalizacja SOC i rozwiń elementy w obszarze Szczegóły, aby przejść do szczegółów, aby wyświetlić dane optymalizacji SOC. Edytuj skoroszyt, aby zmodyfikować dane wyświetlane zgodnie z potrzebami organizacji.
Na przykład:
Aby uzyskać więcej informacji, zobacz:
- Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią
- Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: