Использование оптимизаций SOC программным способом (предварительная версия)

Используйте API Microsoft Sentinel recommendations для программного взаимодействия с рекомендациями по оптимизации SOC, помогая закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема. Вы можете получить подробные сведения обо всех текущих рекомендациях в рабочих областях или конкретной рекомендации по оптимизации SOC или повторно оценить рекомендацию, если вы внесли изменения в среду.

Например, используйте recommendations API для:

• Создание пользовательских отчетов и панелей мониторинга. Например, см . сведения о визуализации пользовательских данных оптимизации SOC.
• Интеграция со сторонними инструментами, например для служб SOAR и ITSM
• Получение автоматизированного, реального времени доступа к данным оптимизации SOC, активация вычислений и оперативное реагирование на предложения

Для клиентов или MSSPs, управляющих несколькими средами, recommendations API предоставляет масштабируемый способ обработки рекомендаций в нескольких рабочих областях. Вы также можете экспортировать данные из API и хранить их внешне для аудита, архивации или отслеживания тенденций.

Получение, обновление или повторное вычисление рекомендаций

Используйте следующие примеры API для программного recommendationsвзаимодействия с рекомендациями по оптимизации SOC:

• Получите список всех текущих рекомендаций по оптимизации SOC в рабочей области:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview 
  

• Получите определенную рекомендацию по идентификатору рекомендации:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Найдите значение идентификатора рекомендации, сначала получите список всех рекомендаций в рабочей области.

• Обновите состояние рекомендации на "Активный", "Выполняется", "Завершено", "Отклонено" или "Повторно активируется".

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Вручную активируйте оценку для определенной рекомендации:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Визуализация пользовательских данных оптимизации SOC

Книга данных оптимизации SOC. Установите и настройте книгу в рабочей области, чтобы создать собственную панель мониторинга оптимизации SOC.

В книгах оптимизации Microsoft Sentinel выберите вкладку оптимизации SOC и разверните элементы в разделе "Сведения", чтобы просмотреть данные оптимизации SOC. Измените книгу, чтобы изменить данные, отображаемые по мере необходимости для вашей организации.

Например:

Дополнительные сведения см. в разделе:

• Обнаружение содержимого Microsoft Sentinel и управление ими
• Визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel.

Связанный контент

Дополнительные сведения см. в разделе:

• Оптимизация операций безопасности
• Справочник по оптимизации SOC рекомендаций
• Справочник по REST API рекомендаций
• Блоги. Знакомство с API | оптимизации SOC разблокирует возможности управления безопасностью на основе точности