SOC 最適化をプログラムで使用する (プレビュー)

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel recommendations API を使用して、SOC 最適化の推奨事項をプログラムで操作すると、特定の脅威に対するカバレッジ ギャップを埋め、インジェスト率を強化できます。 ワークスペース全体の現在のすべての推奨事項または特定の SOC 最適化の推奨事項に関する詳細を取得できるだけではなく、環境に変更を加えた場合に推奨事項を再評価できます。

たとえば、recommendations API を使用して、以下を行います。

  • カスタム レポートとダッシュボードを作成する。 たとえば、「カスタム SOC 最適化データの視覚化」を参照してください。
  • SOAR サービスや ITSM サービスなど用に、サードパーティ製のツールと統合する
  • SOC 最適化データに自動的にリアルタイム アクセスし、評価をトリガーし、提案に迅速に対応する

複数の環境を管理しているお客様または MSSP の場合、recommendations API は、複数のワークスペース間で推奨事項を処理するスケーラブルな方法を提供します。 API からデータをエクスポートして、監査、アーカイブ、トレンド追跡用に外部に格納することもできます。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

recommendations API はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

推奨事項の取得、更新、再評価

次の recommendations API の例を使用して、SOC 最適化の推奨事項をプログラムで使用します。

  • ワークスペースの現在の SOC 最適化の全推奨事項の一覧を取得します。

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • 推奨事項 ID により特定の推奨事項を取得します。

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    まず、ワークスペース内のすべての推奨事項の一覧を取得して、推奨事項の ID 値を見つけます。

  • 推奨事項の状態を "アクティブ"、"進行中"、"完了"、"却下"、または "再アクティブ化" に更新します。

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • 特定の推奨事項の評価を手動でトリガーします。

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

カスタム SOC 最適化データの視覚化

Microsoft Sentinel 最適化ブックでは recommendations API を使用して SOC 最適化データを視覚化します。 ワークスペースにブックをインストールしてカスタマイズし、独自のカスタム SOC 最適化ダッシュボードを作成します。

Microsoft Sentinel 最適化ブックでは、、[SOC 最適化] タブを選択し、[詳細] の下にある項目を展開して、SOC 最適化データにドリルダウンします。 組織の必要に応じて、表示されるデータを変更してブックを編集します。

次に例を示します。

Microsoft Sentinel 最適化ブックのスクリーンショット。

詳細については、以下を参照してください:

関連するコンテンツ

詳細については、以下を参照してください: