Använda SOC-optimeringar programmatiskt (förhandsversion)
Använd Microsoft Sentinel-API recommendations :et för att programmatiskt interagera med rekommendationer för SOC-optimering, vilket hjälper dig att stänga täckningsluckor mot specifika hot och skärpa inmatningshastigheten. Du kan få information om alla aktuella rekommendationer på dina arbetsytor eller en specifik optimeringsrekommendations för SOC, eller så kan du omvärdera en rekommendation om du har gjort ändringar i din miljö.
Använd till exempel API:et recommendations för att:
- Skapa anpassade rapporter och instrumentpaneler. Se till exempel Visualisera anpassade SOC-optimeringsdata.
- Integrera med verktyg från tredje part, till exempel för SOAR- och ITSM-tjänster
- Få automatiserad realtidsåtkomst till SOC-optimeringsdata, utlösa utvärderingar och svara snabbt på förslagen
För kunder eller MSSP:er som hanterar flera miljöer ger API:et recommendations ett skalbart sätt att hantera rekommendationer på flera arbetsytor. Du kan också exportera data från API:et och lagra dem externt för granskning, arkivering eller spårningstrender.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
API:et recommendations är i förhandsversion och använder version 2024-01-01-preview eller senare.
Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Hämta, uppdatera eller omvärdera rekommendationer
Använd följande exempel på API:et recommendationsför att interagera med rekommendationer för SOC-optimering programmatiskt:
Hämta en lista över alla aktuella rekommendationer för SOC-optimering på din arbetsyta:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsHämta en specifik rekommendation efter rekommendations-ID:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Hitta rekommendationens ID-värde genom att först få en lista över alla rekommendationer på din arbetsyta.
Uppdatera en rekommendations status till Aktiv, Pågår, Slutförd, Avvisad eller Återaktivera:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Utlös en utvärdering manuellt för en specifik rekommendation:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualisera anpassade SOC-optimeringsdata
Microsoft Sentinel-optimeringsarbetsboken använder API:et recommendations för att visualisera SOC-optimeringsdata. Installera och anpassa arbetsboken på arbetsytan för att skapa en egen anpassad SOC-optimeringsinstrumentpanel.
I Microsoft Sentinel-optimeringsarbetsböcker väljer du fliken SOC-optimering och expanderar objekten under Information för att öka detaljnivån för att visa SOC-optimeringsdata. Redigera arbetsboken för att ändra de data som visas efter behov för din organisation.
Till exempel:
Mer information finns i:
- Identifiera och hantera innehåll i Microsoft Sentinel
- Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Relaterat innehåll
Mer information finns i: