Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Använd Microsoft Sentinel-APIrecommendations:et för att programmatiskt interagera med rekommendationer för SOC-optimering, vilket hjälper dig att minska täckningsluckorna mot specifika hot och öka inmatningshastigheten. Du kan få information om alla aktuella rekommendationer på dina arbetsytor eller en specifik SOC-optimeringsrekommendering, eller så kan du omvärdera en rekommendation om du har gjort ändringar i din miljö.
Använd till exempel API:et recommendations för att:
- Skapa anpassade rapporter och instrumentpaneler. Se till exempel Visualisera anpassade SOC-optimeringsdata.
- Integrera med verktyg från tredje part, till exempel för SOAR- och ITSM-tjänster
- Få automatiserad realtidsåtkomst till SOC-optimeringsdata, utlösa utvärderingar och svara snabbt på förslagen
För kunder eller MSSP:er som hanterar flera miljöer är API:et recommendations ett skalbart sätt att hantera rekommendationer på flera arbetsytor. Du kan också exportera data från API:et och lagra dem externt för gransknings-, arkiverings- eller spårningstrender.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).
API:et recommendations är i förhandsversion och använder version 2024-01-01-preview eller senare. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Hämta, uppdatera eller omvärdera rekommendationer
Använd följande exempel på API:et recommendationsför att interagera med rekommendationer för SOC-optimering programmatiskt:
Hämta en lista över alla aktuella SOC-optimeringsrekommendationer på din arbetsyta:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewHämta en specifik rekommendation efter rekommendations-ID:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Hitta en rekommendations ID-värde genom att först hämta en lista över alla rekommendationer på din arbetsyta.
Uppdatera en rekommendations status till Aktiv, Pågår, Slutförd, Avvisad eller Återaktivera:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Utlös en utvärdering manuellt för en specifik rekommendation:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualisera anpassade SOC-optimeringsdata
Arbetsboken för Microsoft Sentinel-optimering använder API:et recommendations för att visualisera SOC-optimeringsdata. Installera och anpassa arbetsboken på din arbetsyta för att skapa en egen anpassad INSTRUMENTpanel för SOC-optimering.
I Microsoft Sentinel optimeringsarbetsböcker väljer du fliken SOC-optimering och expanderar objekten under Information för att öka detaljnivån för att visa SOC-optimeringsdata. Redigera arbetsboken för att ändra de data som visas efter behov för din organisation.
Till exempel:
Mer information finns i:
- Identifiera och hantera Microsoft Sentinel inbyggt innehåll
- Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Relaterat innehåll
Mer information finns i: