Utilizar otimizações SOC através de programação (Pré-visualização)

Utilize a API de Microsoft Sentinel recommendations para interagir programaticamente com recomendações de otimização do SOC, ajudando-o a colmatar lacunas de cobertura contra ameaças específicas e a apertar as taxas de ingestão. Pode obter detalhes sobre todas as recomendações atuais nas áreas de trabalho ou uma recomendação de otimização específica do SOC ou pode reavaliar uma recomendação se tiver feito alterações no seu ambiente.

Por exemplo, utilize a recommendations API para:

• Crie relatórios e dashboards personalizados. Por exemplo, veja Visualizar dados de otimização do SOC personalizados.
• Integrar com ferramentas de terceiros, como para serviços SOAR e ITSM
• Obter acesso automatizado e em tempo real aos dados de otimização do SOC, acionar avaliações e responder prontamente às sugestões

Para clientes ou MSSPs que gerem vários ambientes, a recommendations API fornece uma forma dimensionável de processar recomendações em várias áreas de trabalho. Também pode exportar dados da API e armazená-lo externamente para auditoria, arquivo ou tendências de controlo.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).

A recommendations API está em PRÉ-VISUALIZAÇÃO e utiliza a versão 2024-01-01-preview ou posterior. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Obter, atualizar ou reavaliar recomendações

Utilize os seguintes exemplos da recommendations" API para interagir com recomendações de otimização soc programaticamente:

• Obtenha uma lista de todas as recomendações de otimização do SOC atuais na área de trabalho:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview 
  

• Obtenha uma recomendação específica por ID de recomendação:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Localize o valor do ID de uma recomendação ao obter primeiro uma lista de todas as recomendações na área de trabalho.

• Atualize o status de uma recomendação para Ativo, Em Curso, Concluído, Dispensado ou Reativar:

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Acionar manualmente uma avaliação para uma recomendação específica:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Visualizar dados de otimização do SOC personalizados

O Livro de Otimização de Microsoft Sentinel utiliza a recommendations API para visualizar os dados de otimização do SOC. Instale e personalize o livro na sua área de trabalho para criar a sua própria otimização personalizada do SOC dashboard.

No Microsoft Sentinel Livros de Otimização, selecione o separador Otimização do SOC e expanda os itens em Detalhes para desagregar para ver os dados de otimização do SOC. Edite o livro para modificar os dados apresentados conforme necessário para a sua organização.

Por exemplo:

Para saber mais, confira:

• Detetar e gerir Microsoft Sentinel conteúdo inicial
• Visualize e monitorize os seus dados com livros no Microsoft Sentinel.

Conteúdo relacionado

Para saber mais, confira:

• Otimizar as operações de segurança
• Referência de otimização do SOC de recomendações
• Obter referência da API REST de Recomendações
• Blogues: Introdução à API | de Otimização do SOCDesbloqueie o poder da gestão de segurança orientada por precisão