Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте API Microsoft Sentinel recommendations для программного взаимодействия с рекомендациями по оптимизации SOC, помогая устранить пробелы в покрытии от конкретных угроз и сократить частоту приема. Вы можете получить сведения обо всех текущих рекомендациях в рабочих областях или конкретных рекомендациях по оптимизации SOC, а также повторно оценить рекомендацию, если вы внесли изменения в среду.
Например, используйте recommendations API, чтобы:
- Создание пользовательских отчетов и панелей мониторинга. Например, см. статью Визуализация пользовательских данных оптимизации SOC.
- Интеграция со сторонними средствами, например для служб SOAR и ITSM
- Получите автоматический доступ к данным оптимизации SOC в режиме реального времени, активируя оценки и оперативно реагируя на предложения.
Для клиентов или MSSP, управляющих несколькими средами, recommendations API предоставляет масштабируемый способ обработки рекомендаций в нескольких рабочих областях. Вы также можете экспортировать данные из API и хранить их извне для аудита, архивации или отслеживания тенденций.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
API recommendations находится в предварительной версии и использует версию 2024-01-01-preview или более позднюю. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
Получение, обновление или повторная вычисление рекомендаций
Используйте следующие примеры API для программного recommendationsвзаимодействия с рекомендациями по оптимизации SOC:
Получите список всех текущих рекомендаций по оптимизации SOC в рабочей области:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewПолучите конкретную рекомендацию по идентификатору рекомендации:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Найдите значение идентификатора рекомендации, сначала получите список всех рекомендаций в рабочей области.
Обновите состояние рекомендации на Активно, Выполняется, Завершено, Отклонено или Повторно активируйте:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Активация оценки для конкретной рекомендации вручную:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Визуализация пользовательских данных оптимизации SOC
Книга оптимизации Microsoft Sentinel использует recommendations API для визуализации данных оптимизации SOC. Установите и настройте книгу в рабочей области, чтобы создать собственную настраиваемую панель мониторинга оптимизации SOC.
В книгах оптимизации Microsoft Sentinel выберите вкладку Оптимизация SOC и разверните элементы в разделе Сведения, чтобы просмотреть данные оптимизации SOC. Измените книгу, чтобы изменить данные, отображаемые по мере необходимости для вашей организации.
Например, вы можете:
Дополнительные сведения см. в разделе:
- Обнаружение содержимого Microsoft Sentinel и управление ими
- Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.
Связанные материалы
Дополнительные сведения см. в разделе: