Dela via

Använda SOC-optimeringar programmatiskt (förhandsversion)

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Använd Microsoft Sentinel-API recommendations :et för att programmatiskt interagera med rekommendationer för SOC-optimering, vilket hjälper dig att stänga täckningsluckor mot specifika hot och skärpa inmatningshastigheten. Du kan få information om alla aktuella rekommendationer på dina arbetsytor eller en specifik optimeringsrekommendations för SOC, eller så kan du omvärdera en rekommendation om du har gjort ändringar i din miljö.

Använd till exempel API:et recommendations för att:

  • Skapa anpassade rapporter och instrumentpaneler. Se till exempel Visualisera anpassade SOC-optimeringsdata.
  • Integrera med verktyg från tredje part, till exempel för SOAR- och ITSM-tjänster
  • Få automatiserad realtidsåtkomst till SOC-optimeringsdata, utlösa utvärderingar och svara snabbt på förslagen

För kunder eller MSSP:er som hanterar flera miljöer ger API:et recommendations ett skalbart sätt att hantera rekommendationer på flera arbetsytor. Du kan också exportera data från API:et och lagra dem externt för granskning, arkivering eller spårningstrender.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

API:et recommendations finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Hämta, uppdatera eller omvärdera rekommendationer

Använd följande exempel på API:et recommendations för att interagera med rekommendationer för SOC-optimering programmatiskt:

  • Hämta en lista över alla aktuella rekommendationer för SOC-optimering på din arbetsyta:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • Hämta en specifik rekommendation efter rekommendations-ID:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    Hitta rekommendationens ID-värde genom att först få en lista över alla rekommendationer på din arbetsyta.

  • Uppdatera en rekommendations status till Aktiv, Pågår, Slutförd, Avvisad eller Återaktivera: 

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • Utlös en utvärdering manuellt för en specifik rekommendation:

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

Visualisera anpassade SOC-optimeringsdata

Microsoft Sentinel-optimeringsarbetsboken använder API:et recommendations för att visualisera SOC-optimeringsdata. Installera och anpassa arbetsboken på arbetsytan för att skapa en egen anpassad SOC-optimeringsinstrumentpanel.

I Microsoft Sentinel-optimeringsarbetsböcker väljer du fliken SOC-optimering och expanderar objekten under Information för att öka detaljnivån för att visa SOC-optimeringsdata. Redigera arbetsboken för att ändra de data som visas efter behov för din organisation.

Till exempel:

Skärmbild av Microsoft Sentinel-optimeringsarbetsboken.

Mer information finns i:

Relaterat innehåll

Mer information finns i: