你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
以编程方式使用 SOC 优化(预览版)
使用 Microsoft Sentinel recommendations API 以编程方式与 SOC 优化建议进行交互,帮助你缩小针对特定威胁的覆盖范围差距并收紧引入率。 可以获取有关工作区中所有当前建议或特定 SOC 优化建议的详细信息,或者,如果环境中进行了更改,可以重新评估建议。
例如,使用 recommendations API:
- 生成自定义报表和仪表板。 例如,请参阅可视化自定义 SOC 优化数据。
- 与第三方工具集成,例如 SOAR 和 ITSM 服务
- 获取对 SOC 优化数据的自动化实时访问、触发评估并及时响应建议
对于管理多个环境的客户或 MSSP,recommendations API 提供了一种可缩放的方式来处理跨多个工作区的建议。 还可以从 API 导出数据,并将其存储在外部进行审核、存档或跟踪趋势。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
recommendations API 为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
获取、更新或重新评估建议
使用 recommendations API 的以下示例以编程方式与 SOC 优化建议进行交互:
获取工作区中所有当前 SOC 优化建议的列表:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations按建议 ID 获取特定建议:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}首先获取工作区中所有建议的列表来查找建议的 ID 值。
将建议的状态更新为“活动”、“正在进行”、“已完成”、“已消除”或“重新激活”:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}手动触发特定建议的评估:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
可视化自定义 SOC 优化数据
Microsoft Sentinel 优化工作簿使用 recommendations API 可视化 SOC 优化数据。 在工作区中安装和自定义工作簿,以创建自己的自定义 SOC 优化仪表板。
在“Microsoft Sentinel 优化工作簿”中,选择“SOC 优化”选项卡,然后展开“详细信息”下的项目进行向下钻取,以查看 SOC 优化数据。 编辑工作簿以根据组织需要修改显示的数据。
例如:
有关详细信息,请参阅:
相关内容
有关详细信息,请参阅: