通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

以编程方式使用 SOC 优化(预览版)

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

使用 Microsoft Sentinel recommendations API 以编程方式与 SOC 优化建议进行交互,帮助你缩小针对特定威胁的覆盖范围差距并收紧引入率。 可以获取有关工作区中所有当前建议或特定 SOC 优化建议的详细信息,或者,如果环境中进行了更改,可以重新评估建议。

例如,使用 recommendations API:

  • 生成自定义报表和仪表板。 例如,请参阅 可视化自定义 SOC 优化数据
  • 与第三方工具集成,例如 SOAR 和 ITSM 服务
  • 获取对 SOC 优化数据的自动化实时访问、触发评估并及时响应建议

对于管理多个环境的客户或 MSSP,recommendations API 提供了一种可缩放的方式来处理跨多个工作区的建议。 还可以从 API 导出数据,并将其存储在外部进行审核、存档或跟踪趋势。

重要

2027 年 3 月 31 日之后,Microsoft Sentinel 将不再在 Azure 门户中受支持,并且仅在 Microsoft Defender 门户中可用。 在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户

如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性

recommendations API 处于预览阶段,使用版本2024-01-01-preview或更高。 有关适用于 beta 版、预览版或尚未正式发布的 Azure 功能的其他法律条款,请参阅 Microsoft azure 预览版补充使用条款

获取、更新或重新评估建议

使用 recommendations` API 的以下示例以编程方式与 SOC 优化建议进行交互:

  • 获取工作区中所有当前 SOC 优化建议的列表

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview

  • 通过建议 ID 获取特定建议

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    要确定某个建议的 ID 值,首先获取工作区中所有建议的列表。

  • 将建议的状态更新为“活动”、“正在进行”、“已完成”、“已关闭”或“重新激活”:

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • 为特定建议手动触发评估过程

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

可视化自定义 SOC 优化数据

Microsoft Sentinel 优化工作簿使用 API 来可视化 SOC 优化数据。 在工作区中安装和自定义工作簿,以创建自己的自定义 SOC 优化仪表板。

在“Microsoft Sentinel 优化工作簿”中,选择“SOC 优化”选项卡,然后展开“详细信息”下的项进行向下钻取,以查看 SOC 优化数据。 编辑工作簿以根据组织需要修改显示的数据。

例如:

Microsoft Sentinel 优化工作簿的屏幕截图。

有关详细信息,请参阅:

相关内容

有关详细信息,请参阅:

  • Last updated on