Использование оптимизаций SOC программным способом (предварительная версия)

• Применяется к:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Используйте API Microsoft Sentinel recommendations для программного взаимодействия с рекомендациями по оптимизации SOC, помогая закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема. Вы можете получить подробные сведения обо всех текущих рекомендациях в рабочих областях или конкретной рекомендации по оптимизации SOC или повторно оценить рекомендацию, если вы внесли изменения в среду.

Например, используйте recommendations API для:

• Создание пользовательских отчетов и панелей мониторинга. Например, см . сведения о визуализации пользовательских данных оптимизации SOC.
• Интеграция со сторонними инструментами, например для служб SOAR и ITSM
• Получение автоматизированного, реального времени доступа к данным оптимизации SOC, активация вычислений и оперативное реагирование на предложения

Для клиентов или MSSPs, управляющих несколькими средами, recommendations API предоставляет масштабируемый способ обработки рекомендаций в нескольких рабочих областях. Вы также можете экспортировать данные из API и хранить их внешне для аудита, архивации или отслеживания тенденций.

Внимание

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

recommendations API находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Получение, обновление или повторное вычисление рекомендаций

Используйте следующие примеры API для программного recommendations взаимодействия с рекомендациями по оптимизации SOC:

• Получите список всех текущих рекомендаций по оптимизации SOC в рабочей области:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
  

• Получите определенную рекомендацию по идентификатору рекомендации:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Найдите значение идентификатора рекомендации, сначала получите список всех рекомендаций в рабочей области.

• Обновите состояние рекомендации на "Активный", "Выполняется", "Завершено", "Отклонено" или "Повторно активируется".

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Вручную активируйте оценку для определенной рекомендации:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Визуализация пользовательских данных оптимизации SOC

Книга оптимизации Microsoft Sentinel использует recommendations API для визуализации данных оптимизации SOC. Установите и настройте книгу в рабочей области, чтобы создать собственную панель мониторинга оптимизации SOC.

В книгах оптимизации Microsoft Sentinel выберите вкладку оптимизации SOC и разверните элементы в разделе "Сведения", чтобы просмотреть данные оптимизации SOC. Измените книгу, чтобы изменить данные, отображаемые по мере необходимости для вашей организации.

Например:

Дополнительные сведения см. в разделе:

• Обнаружение содержимого Microsoft Sentinel и управление ими
• Визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel.

Связанный контент

Дополнительные сведения см. в разделе:

• Оптимизация операций безопасности
• Справочник по оптимизации SOC рекомендаций
• Блоги. Знакомство с API | оптимизации SOC разблокирует возможности управления безопасностью на основе точности