Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте API Microsoft Sentinel recommendations для программного взаимодействия с рекомендациями по оптимизации SOС. Это поможет вам закрыть пробелы в защите от конкретных угроз и оптимизировать частоту приема данных. Вы можете получить подробные сведения обо всех текущих рекомендациях в рабочих областях или конкретной рекомендации по оптимизации SOC или повторно оценить рекомендацию, если вы внесли изменения в среду.
Например, используйте recommendations API для:
- Создание пользовательских отчетов и панелей мониторинга. Например, смотрите Визуализация пользовательских данных оптимизации SOC.
- Интеграция со сторонними инструментами, например для служб SOAR и ITSM
- Получите автоматизированный доступ в режиме реального времени к данным оптимизации SOC, запуск оценки и оперативное выполнение предложений
Для клиентов или MSSPs, управляющих несколькими средами, recommendations API предоставляет масштабируемый способ обработки рекомендаций в нескольких рабочих областях. Вы также можете экспортировать данные из API и хранить их внешне для аудита, архивации или отслеживания тенденций.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
recommendations API находится в предварительной версии и использует версию 2024-01-01-preview или более поздней. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Получите, обновите или пересмотрите рекомендации
Используйте следующие примеры API для программного взаимодействия с рекомендациями по оптимизации среды SOC:
Получите список всех текущих рекомендаций по оптимизации SOC в рабочей области:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewПолучите конкретную рекомендацию по идентификатору рекомендации
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Сперва получите список всех рекомендаций в вашей рабочей области, чтобы найти значение идентификатора рекомендации.
Обновите состояние рекомендации на "Активный", "Выполняется", "Завершено", "Отклонено" или "Повторно активируется".
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Вручную активируйте оценку для определенной рекомендации:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Визуализация пользовательских данных оптимизации SOC
Книга оптимизации Microsoft Sentinel использует recommendations API для визуализации данных об оптимизации SOC. Установите и настройте рабочую книгу в рабочей области, чтобы создать пользовательскую панель оптимизации SOC.
В рабочих книгах оптимизации Microsoft Sentinel выберите вкладку Оптимизация SOC и разверните элементы в разделе Сведения, чтобы просмотреть данные оптимизации SOC. Отредактируйте рабочую книгу, чтобы скорректировать данные, отображаемые по мере необходимости для вашей организации.
Например:
Дополнительные сведения см. в разделе:
- Обнаруживайте и управляйте готовым содержимым Microsoft Sentinel
- Визуализировать и отслеживать ваши данные с помощью рабочих книг в Microsoft Sentinel.
Связанный контент
Дополнительные сведения см. в разделе: