Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Bruk Microsoft Sentinel recommendations API til programmatisk å samhandle med SOC-optimaliseringsanbefalinger, slik at du kan lukke dekningshull mot spesifikke trusler og stramme inninntaksfrekvenser. Du kan få detaljer om alle gjeldende anbefalinger på tvers av arbeidsområdene eller en bestemt soc-optimaliseringsanbefaling, eller du kan revurdere en anbefaling hvis du har gjort endringer i miljøet ditt.
Bruk for eksempel recommendations API-en til å:
- Bygg egendefinerte rapporter og instrumentbord. Se for eksempel Visualiser egendefinerte SOC-optimaliseringsdata.
- Integrer med tredjepartsverktøy, for eksempel for SOAR- og ITSM-tjenester
- Få automatisert, sanntidstilgang til SOC-optimaliseringsdata, utløser evalueringer og svarer raskt på forslagene
For kunder eller MSSP-er som administrerer flere miljøer, recommendations gir API-en en skalerbar måte å håndtere anbefalinger på tvers av flere arbeidsområder. Du kan også eksportere data fra API-en og lagre den eksternt for revisjons-, arkiverings- eller sporingstrender.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.
recommendations API-en er i PREVIEW og bruker versjon 2024-01-01-forhåndsvisning eller nyere. Se tilleggsvilkårene for bruk for Microsoft Azure previews for flere juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.
Få, oppdatere eller revurdere anbefalinger
Bruk følgende eksempler på recommendationsAPI-en til å samhandle med SOC-optimaliseringsanbefalinger programmatisk:
Få en liste over alle gjeldende anbefalinger for SOC-optimalisering i arbeidsområdet:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewFå en spesifikk anbefaling etter anbefalings-ID:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Finn ID-verdien til en anbefaling ved først å få en liste over alle anbefalingene i arbeidsområdet.
Oppdater statusen for en anbefaling til Aktiv, Pågår, Fullført, Avvist eller Aktiver på nytt:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Utløs en evaluering manuelt for en bestemt anbefaling:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualiser egendefinerte SOC-optimaliseringsdata
Arbeidsboken for Microsoft Sentinel optimalisering bruker recommendations API-en til å visualisere SOC-optimaliseringsdata. Installer og tilpass arbeidsboken i arbeidsområdet for å opprette ditt eget egendefinerte instrumentbord for SOC-optimalisering.
Velg fanen SOC-optimalisering i Microsoft Sentinel optimaliseringsarbeidsbøker, og utvid elementene under Detaljer for å drille ned for å vise SOC-optimaliseringsdata. Rediger arbeidsboken for å endre dataene som vises etter behov for organisasjonen.
Eksempel:
Hvis du vil ha mer informasjon, kan du se:
- Oppdag og administrer Microsoft Sentinel forhåndsdefinert innhold
- Visualiser og overvåk dataene ved hjelp av arbeidsbøker i Microsoft Sentinel.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: