Sdílet prostřednictvím

Programové použití optimalizací SOC (Preview)

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Pomocí rozhraní API služby Microsoft Sentinel recommendations můžete programově pracovat s doporučeními pro optimalizaci SOC, což vám pomůže uzavřít mezery v pokrytí před konkrétními hrozbami a zpřísnit míru příjmu dat. Můžete získat podrobnosti o všech aktuálních doporučeních napříč vašimi pracovními prostory nebo konkrétním doporučením optimalizace SOC nebo můžete doporučení znovu vyhodnotit, pokud jste ve svém prostředí provedli změny.

Například pomocí recommendations rozhraní API můžete:

  • Vytváření vlastních sestav a řídicích panelů Viz Vizualizujte například vlastní data optimalizace SOC.
  • Integrace s nástroji třetích stran, jako jsou služby SOAR a ITSM
  • Získejte automatizovaný přístup k datům optimalizace SOC v reálném čase, aktivujte vyhodnocení a okamžitě reagovali na návrhy.

Pro zákazníky nebo mssp, kteří spravují více prostředí, recommendations poskytuje rozhraní API škálovatelný způsob, jak zpracovávat doporučení napříč několika pracovními prostory. Můžete také exportovat data z rozhraní API a uložit je externě pro účely auditu, archivace nebo sledování trendů.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Rozhraní recommendations API je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Získání, aktualizace nebo opětovné hodnocení doporučení

K programové interakci s doporučeními pro optimalizaci SOC použijte následující příklady recommendations rozhraní API:

  • Získejte seznam všech aktuálních doporučení pro optimalizaci SOC ve vašem pracovním prostoru:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • Získejte konkrétní doporučení podle ID doporučení:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    Hodnotu ID doporučení najdete tak, že nejprve zobrazíte seznam všech doporučení ve vašem pracovním prostoru.

  • Aktualizujte stav doporučení na Aktivní, Probíhá, Dokončeno, Zamítnuto nebo Opětovná aktivace:

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • Ruční aktivace vyhodnocení pro konkrétní doporučení:

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

Vizualizace vlastních dat optimalizace SOC

Optimalizační sešit Microsoft Sentinelu recommendations používá rozhraní API k vizualizaci dat optimalizace SOC. Nainstalujte a přizpůsobte sešit v pracovním prostoru a vytvořte vlastní řídicí panel optimalizace SOC.

V sešitech Optimalizace služby Microsoft Sentinel vyberte kartu Optimalizace SOC a rozbalte položky v části Podrobnosti, abyste mohli přejít k podrobnostem, abyste zobrazili data optimalizace SOC. Upravte sešit a upravte data zobrazená podle potřeby pro vaši organizaci.

Příklad:

Snímek obrazovky se sešitem optimalizace služby Microsoft Sentinel

Další informace naleznete v tématu:

Související obsah

Další informace naleznete v tématu: