Programmgesteuertes Verwenden von SOC-Optimierungen (Vorschau)

• Gilt für::

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Verwenden Sie die recommendations-API von Microsoft Sentinel, um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren und dadurch Optimierungslücken gegen bestimmte Bedrohungen zu schließen und die Erfassungsraten zu erhöhen. Sie können Details zu allen aktuellen Empfehlungen in Ihren Arbeitsbereichen oder eine bestimmte SOC-Optimierungsempfehlung abrufen oder eine Empfehlung erneut bewerten, wenn Sie Änderungen in Ihrer Umgebung vorgenommen haben.

Verwenden Sie beispielsweise die recommendations-API für Folgendes:

• Erstellen von benutzerdefinierten Berichten und Dashboards. Siehe etwa Visualisieren von benutzerdefinierten SOC-Optimierungsdaten.
• Integrieren in Drittanbietertools, z. B. für SOAR- und ITSM-Dienste
• Erhalten Sie automatisierten Echtzeitzugriff auf SOC-Optimierungsdaten, sodass Sie Auswertungen auslösen und umgehend auf die Vorschläge reagieren können.

Für Kunden oder MSSPs, die mehrere Umgebungen verwalten, bietet die recommendations-API eine skalierbare Möglichkeit, Empfehlungen über mehrere Arbeitsbereiche hinweg zu behandeln. Sie können auch Daten aus der API exportieren und extern für die Überwachung, die Archivierung oder die Nachverfolgung von Trends speichern.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Die recommendations-API befindet sich in der Vorschau. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Abrufen, Aktualisieren oder erneutes Bewerten von Empfehlungen

Verwenden Sie die folgenden Beispiele der recommendations-API, um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren:

• Abrufen einer Liste aller aktuellen SOC-Optimierungsempfehlungen in Ihrem Arbeitsbereich:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
  

• Erhalten einer bestimmten Empfehlung nach Empfehlungs-ID:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Suchen Sie den ID-Wert einer Empfehlung, indem Sie zuerst eine Liste aller Empfehlungen in Ihrem Arbeitsbereich abrufen.

• Aktualisieren des Status einer Empfehlung in Aktiv, In Bearbeitung, Abgeschlossen, Verworfen oder Reaktivieren:

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Manuelles Auslösen einer Bewertung für eine bestimmte Empfehlung:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Visualisieren von benutzerdefinierten SOC-Optimierungsdaten

Die Microsoft Sentinel-Optimierungsarbeitsmappe verwendet die recommendations-API, um SOC-Optimierungsdaten zu visualisieren. Installieren Sie die Arbeitsmappe in Ihrem Arbeitsbereich, und passen Sie sie an, um Ihr eigenes benutzerdefiniertes SOC-Optimierungsdashboard zu erstellen.

Wählen Sie in der Microsoft Sentinel-Optimierungsarbeitsmappe die Registerkarte SOC-Optimierung aus, und erweitern Sie die Elemente unter Details, um einen Drilldown zum Anzeigen von SOC-Optimierungsdaten auszuführen. Bearbeiten Sie die Arbeitsmappe, um die angezeigten Daten für den Bedarf in Ihrer Organisation zu ändern.

Zum Beispiel:

Weitere Informationen finden Sie unter:

• Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
• Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Optimieren Ihrer Security Operations
• Referenz zu SOC-Optimierungsempfehlungen
• Blogs: Einführung in die SOC-Optimierungs-API | Entsperren der Leistungsfähigkeit der präzisen Sicherheitsverwaltung