Использование оптимизаций SOC программным способом (предварительная версия)
Используйте API Microsoft Sentinel recommendations для программного взаимодействия с рекомендациями по оптимизации SOC, помогая закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема. Вы можете получить подробные сведения обо всех текущих рекомендациях в рабочих областях или конкретной рекомендации по оптимизации SOC или повторно оценить рекомендацию, если вы внесли изменения в среду.
Например, используйте recommendations API для:
- Создание пользовательских отчетов и панелей мониторинга. Например, см . сведения о визуализации пользовательских данных оптимизации SOC.
- Интеграция со сторонними инструментами, например для служб SOAR и ITSM
- Получение автоматизированного, реального времени доступа к данным оптимизации SOC, активация вычислений и оперативное реагирование на предложения
Для клиентов или MSSPs, управляющих несколькими средами, recommendations API предоставляет масштабируемый способ обработки рекомендаций в нескольких рабочих областях. Вы также можете экспортировать данные из API и хранить их внешне для аудита, архивации или отслеживания тенденций.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
recommendations API находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Получение, обновление или повторное вычисление рекомендаций
Используйте следующие примеры API для программного recommendations взаимодействия с рекомендациями по оптимизации SOC:
Получите список всех текущих рекомендаций по оптимизации SOC в рабочей области:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsПолучите определенную рекомендацию по идентификатору рекомендации:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Найдите значение идентификатора рекомендации, сначала получите список всех рекомендаций в рабочей области.
Обновите состояние рекомендации на "Активный", "Выполняется", "Завершено", "Отклонено" или "Повторно активируется".
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Вручную активируйте оценку для определенной рекомендации:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Визуализация пользовательских данных оптимизации SOC
Книга оптимизации Microsoft Sentinel использует recommendations API для визуализации данных оптимизации SOC. Установите и настройте книгу в рабочей области, чтобы создать собственную панель мониторинга оптимизации SOC.
В книгах оптимизации Microsoft Sentinel выберите вкладку оптимизации SOC и разверните элементы в разделе "Сведения", чтобы просмотреть данные оптимизации SOC. Измените книгу, чтобы изменить данные, отображаемые по мере необходимости для вашей организации.
Например:
Дополнительные сведения см. в разделе:
- Обнаружение содержимого Microsoft Sentinel и управление ими
- Визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel.
Связанный контент
Дополнительные сведения см. в разделе: