Como usar otimizações SOC programaticamente (versão prévia)
Use a API recommendations do Microsoft Sentinel para interagir de forma programática com as recomendações de otimização do SOC, ajudando você a eliminar as brechas de cobertura contra ameaças específicas e otimizar suas taxas de ingestão. Você pode obter detalhes sobre todas as recomendações atuais nos seus workspaces ou sobre uma recomendação de otimização do SOC específica, ou ainda reavaliar uma recomendação caso tenha realizado mudanças no seu ambiente.
Por exemplo, utilize a API recommendations para:
- Criar relatórios e painéis personalizados. Confira, por exemplo, o artigo Visualizar dados de otimização do SOC personalizados.
- Integrar com ferramentas de terceiros, como serviços de SOAR e ITSM
- Acessar de forma automatizada e em tempo real os dados de otimização do SOC, acionando avaliações e respondendo rapidamente às sugestões
Para clientes ou MSSPs que gerenciam vários ambientes, a API recommendations oferece uma forma escalonável de gerir recomendações em diversos espaços de trabalho. Você também pode exportar dados da API e armazená-los externamente para fins de auditoria, arquivamento ou acompanhamento.
Importante
O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
A API recommendations está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Obter, atualizar ou reavaliar recomendações
Use os exemplos a seguir da API recommendations para interagir programaticamente com as recomendações de otimização do SOC:
Obter uma lista de todas as recomendações de otimização do SOC atuais no seu workspace:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsObter uma recomendação específica pela ID da recomendação:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Para localizar o valor da ID de uma recomendação, primeiro obtenha uma lista de todas as recomendações no seu workspace.
Atualizar o status de uma recomendação para Ativo, Em Andamento, Concluído, Descartado ou Reativar:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Disparar manualmente uma avaliação para uma recomendação específica:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualizar dados personalizados de otimização do SOC
A Pasta de Trabalho de Otimização do Microsoft Sentinel utiliza a API recommendations para visualizar dados de otimização do SOC. Instale e personalize a pasta de trabalho em seu workspace para criar seu próprio painel de otimização de SOC personalizado.
Nas Pastas de Trabalho de Otimização do Microsoft Sentinel, selecione a guia Otimização do SOC e expanda os itens em Detalhes para analisar detalhadamente e visualizar os dados de otimização do SOC. Edite a pasta de trabalho para ajustar os dados exibidos de acordo com as necessidades da sua organização.
Por exemplo:
Para saber mais, veja:
- Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel
- Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Conteúdo relacionado
Para saber mais, veja: