Megosztás a következőn keresztül:

SOC-optimalizálások programozott használata (előzetes verzió)

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A Microsoft Sentinel recommendations API-val programozott módon kezelheti az SOC optimalizálási javaslatait, így megszüntetheti a lefedettségi réseket az adott fenyegetések ellen, és megszűkítheti a betöltési arányokat. Részletes információkat kaphat a munkaterületek összes aktuális javaslatáról, vagy egy adott SOC-optimalizálási javaslatról, vagy átértékelheti a javaslatokat, ha módosításokat végzett a környezetben.

Használja például az recommendations API-t a következőkre:

  • Egyéni jelentések és irányítópultok készítése. Lásd például az egyéni SOC-optimalizálási adatok vizualizációja című témakört.
  • Integrálás külső eszközökkel, például SOAR- és ITSM-szolgáltatásokkal
  • Automatikus, valós idejű hozzáférés az SOC optimalizálási adataihoz, kiértékelések aktiválása és a javaslatokra való azonnali válaszadás

A több környezetet kezelő ügyfelek vagy MSSP-k számára az recommendations API skálázható módot kínál a több munkaterületre vonatkozó javaslatok kezelésére. Az API-ból is exportálhat adatokat, és külsőleg tárolhatja azokat naplózási, archiválási vagy nyomon követési trendek céljából.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Az recommendations API előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Javaslatok lekérése, frissítése vagy újraértékelése

Az API alábbi példáival programozott módon kezelheti a recommendations SOC optimalizálási javaslatait:

  • Szerezze be a munkaterület összes jelenlegi SOC-optimalizálási javaslatának listáját:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • Konkrét javaslat lekérése javaslatazonosító alapján:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    A javaslatok azonosítóértékének megkereséséhez először lekérte a munkaterületen található összes javaslat listáját.

  • Frissítse a javaslat állapotát aktív, folyamatban lévő, befejezett, elutasított vagy újraaktivált állapotra:

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • Egy adott javaslat kiértékelése manuálisan aktiválható:

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

Egyéni SOC-optimalizálási adatok megjelenítése

A Microsoft Sentinel optimalizálási munkafüzete az API használatával jeleníti meg a recommendations SOC optimalizálási adatait. Telepítse és szabja testre a munkafüzetet a munkaterületen, hogy saját egyéni SOC-optimalizálási irányítópultot hozzon létre.

A Microsoft Sentinel optimalizálási munkafüzeteiben válassza az SOC-optimalizálás lapot, és bontsa ki az elemeket a Részletek területen a SOC optimalizálási adatainak megtekintéséhez. Szerkessze a munkafüzetet a szervezet számára szükséges adatok módosításához.

Példa:

Képernyőkép a Microsoft Sentinel optimalizálási munkafüzetéről.

További információk:

Kapcsolódó tartalom

További információk: