以程式設計方式使用 SOC 最佳化 (預覽)
使用 Microsoft Sentinel recommendations API,以程式設計方式與 SOC 最佳化建議互動,協助您縮小涵蓋範圍,防止特定威脅和收緊擷取率。 您可以取得工作區或特定 SOC 最佳化建議中所有目前建議的詳細資料,或者,如果您在環境中做了變更,也可以重新評估建議。
例如,使用 recommendations API 進行:
- 建置自訂報表和儀表板。 例如,請參閱視覺化自訂 SOC 最佳化資料。
- 與第三方工具整合,例如 SOAR 和 ITSM 服務
- 取得 SOC 最佳化資料的自動化即時存取、觸發評估並立即回應建議
對於管理多個環境的客戶或 MSSP,recommendations API 提供可調整的方式來處理多個工作區的建議。 您也可以從 API 匯出資料,並將其儲存在外部以進行稽核、封存或追蹤趨勢。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
recommendations API 位於 PREVIEW中。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
取得、更新或重新評估建議
使用下列 recommendations API 範例,以程式設計方式與 SOC 最佳化建議互動:
取得工作區中所有目前 SOC 最佳化建議的清單:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations依建議識別碼取得特定建議:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}先取得工作區中所有建議的清單,以尋找建議的識別碼值。
將建議的狀態更新為作用中、進行中、已完成、已關閉或重新啟用:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}手動觸發特定建議的評估:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
視覺化自訂 SOC 最佳化資料
Microsoft Sentinel 最佳化活頁簿會使用 recommendations API 將 SOC 最佳化資料視覺化。 在工作區中安裝並自訂活頁簿,以建立您自己的自訂 SOC 最佳化儀表板。
在 [Microsoft Sentinel 最佳化活頁簿] 中,選取 [SOC 最佳化] 索引標籤,然後展開 [詳細資料] 底下的項目,向下切入以檢視 SOC 最佳化資料。 編輯活頁簿以修改組織所需顯示的資料。
例如:
如需詳細資訊,請參閱
相關內容
如需詳細資訊,請參閱