Usando otimizações SOC programaticamente (Visualização)
Use a API do Microsoft Sentinel recommendations para interagir programaticamente com as recomendações de otimização de SOC, ajudando você a fechar lacunas de cobertura contra ameaças específicas e reduzir as taxas de ingestão. Você pode obter detalhes sobre todas as recomendações atuais em seus espaços de trabalho ou uma recomendação específica de otimização de SOC, ou pode reavaliar uma recomendação se tiver feito alterações em seu ambiente.
Por exemplo, use a recommendations API para:
- Crie relatórios e painéis personalizados. Por exemplo, consulte Visualizar dados personalizados de otimização de SOC.
- Integração com ferramentas de terceiros, como serviços SOAR e ITSM
- Obtenha acesso automatizado e em tempo real aos dados de otimização do SOC, acionando avaliações e respondendo prontamente às sugestões
Para clientes ou MSSPs que gerenciam vários ambientes, a recommendations API fornece uma maneira escalável de lidar com recomendações em vários espaços de trabalho. Você também pode exportar dados da API e armazená-los externamente para auditoria, arquivamento ou acompanhamento de tendências.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
A recommendations API está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Obter, atualizar ou reavaliar recomendações
Use os seguintes exemplos da API para interagir com as recomendações de recommendations otimização SOC programaticamente:
Obtenha uma lista de todas as recomendações atuais de otimização de SOC em seu espaço de trabalho:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendationsObtenha uma recomendação específica por ID de recomendação:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Encontre o valor de ID de uma recomendação obtendo primeiro uma lista de todas as recomendações em seu espaço de trabalho.
Atualize o status de uma recomendação para Ativo, Em andamento, Concluído, Descartado ou Reativar:
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Acionar manualmente uma avaliação para uma recomendação específica:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualize dados personalizados de otimização de SOC
A pasta de trabalho de otimização do Microsoft Sentinel usa a recommendations API para visualizar dados de otimização SOC. Instale e personalize a pasta de trabalho em seu espaço de trabalho para criar seu próprio painel de otimização SOC personalizado.
Nas Pastas de Trabalho de Otimização do Microsoft Sentinel, selecione a guia Otimização SOC e expanda os itens em Detalhes para fazer uma busca detalhada para exibir os dados de otimização SOC. Edite a pasta de trabalho para modificar os dados mostrados conforme necessário para sua organização.
Por exemplo:
Para obter mais informações, consulte:
- Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel
- Visualize e monitore seus dados usando pastas de trabalho no Microsoft Sentinel.
Conteúdos relacionados
Para obter mais informações, consulte: