Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez l’API Microsoft Sentinel recommendations pour interagir par programmation avec les recommandations d’optimisation SOC, ce qui vous aide à combler les écarts de couverture contre des menaces spécifiques et à renforcer les taux d’ingestion. Vous pouvez obtenir des détails sur toutes les recommandations actuelles dans vos espaces de travail ou une recommandation d’optimisation SOC spécifique, ou vous pouvez réévaluer une recommandation si vous avez apporté des modifications dans votre environnement.
Par exemple, utilisez l’API recommendations pour :
- Créez des rapports et des tableaux de bord personnalisés. Par exemple, consultez Visualiser les données d’optimisation SOC personnalisées.
- Intégration avec des outils tiers, tels que pour les services SOAR et ITSM
- Obtenir un accès automatisé en temps réel aux données d’optimisation SOC, en déclenchant des évaluations et en répondant rapidement aux suggestions
Pour les clients ou les fournisseurs de services de sécurité qui gèrent plusieurs environnements, l’API recommendations offre un moyen évolutif de gérer les recommandations dans plusieurs espaces de travail. Vous pouvez également exporter des données à partir de l’API et les stocker en externe à des fins d’audit, d’archivage ou de suivi des tendances.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.
L’API recommendations est en préversion et utilise la version 2024-01-01-preview ou ultérieure. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.
Obtenir, mettre à jour ou réévaluer des recommandations
Utilisez les exemples suivants de l’API recommendationspour interagir avec les recommandations d’optimisation SOC par programmation :
Obtenez la liste de toutes les recommandations d’optimisation SOC actuelles dans votre espace de travail :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewObtenez une recommandation spécifique par ID de recommandation :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Recherchez la valeur d’ID d’une recommandation en obtenant d’abord une liste de toutes les recommandations dans votre espace de travail.
Mettez à jour le status d’une recommandation sur Actif, En cours, Terminé, Ignoré ou Réactivé :
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Déclenchez manuellement une évaluation pour une recommandation spécifique :
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualiser les données d’optimisation SOC personnalisées
Le classeur d’optimisation Microsoft Sentinel utilise l’API pour visualiser les recommendations données d’optimisation SOC. Installez et personnalisez le classeur dans votre espace de travail pour créer votre propre tableau de bord d’optimisation SOC personnalisé.
Dans les classeurs d’optimisation Microsoft Sentinel, sélectionnez l’onglet Optimisation SOC et développez les éléments sous Détails à explorer pour afficher les données d’optimisation SOC. Modifiez le classeur pour modifier les données affichées en fonction des besoins de votre organization.
Par exemple :
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi
- Visualisez et surveillez vos données à l’aide de classeurs dans Microsoft Sentinel.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Optimiser vos opérations de sécurité
- Informations de référence sur l’optimisation SOC des recommandations
- Informations de référence sur l’API REST Obtenir des recommandations
- Blogs : Présentation de l’API | d’optimisation SOCDéverrouillez la puissance de la gestion de la sécurité pilotée par la précision