Uso delle ottimizzazioni SOC a livello di codice (anteprima)

Usare l'API recommendations di Microsoft Sentinel per interagire a livello di codice con le raccomandazioni di ottimizzazione SOC, consentendo di chiudere i gap di copertura contro minacce specifiche e ridurre i tassi di inserimento. È possibile ottenere informazioni dettagliate su tutte le raccomandazioni correnti nelle aree di lavoro o su una raccomandazione di ottimizzazione SOC specifica oppure rivalutare una raccomandazione se sono state apportate modifiche nell'ambiente.

Ad esempio, usare l'API recommendations per:

• Creare report e dashboard personalizzati. Ad esempio, vedere Visualizzare i dati di ottimizzazione SOC personalizzati.
• Eseguire l'integrazione con strumenti di terze parti, ad esempio per i servizi SOAR e ITSM
• Ottenere l'accesso automatico e in tempo reale ai dati di ottimizzazione SOC, attivare valutazioni e rispondere tempestivamente ai suggerimenti

Per i clienti o gli MSSP che gestiscono più ambienti, l'API recommendations offre un modo scalabile per gestire le raccomandazioni in più aree di lavoro. È anche possibile esportare i dati dall'API e archiviarla esternamente per il controllo, l'archiviazione o il rilevamento delle tendenze.

Ottenere, aggiornare o rivalutare le raccomandazioni

Usare gli esempi seguenti dell'API recommendations per interagire con le raccomandazioni di ottimizzazione SOC a livello di codice:

• Ottenere un elenco di tutte le raccomandazioni di ottimizzazione SOC correnti nell'area di lavoro:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
  

• Ottenere una raccomandazione specifica in base all'ID raccomandazione:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Trovare il valore ID di una raccomandazione ottenendo prima un elenco di tutte le raccomandazioni nell'area di lavoro.

• Aggiornare lo stato di una raccomandazione a Attivo, In corso, Completato, Ignorato o Riattiva:

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Attivare manualmente una valutazione per una raccomandazione specifica:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Visualizzare i dati di ottimizzazione SOC personalizzati

La cartella di lavoro di ottimizzazione di Microsoft Sentinel usa l'API recommendations per visualizzare i dati di ottimizzazione SOC. Installare e personalizzare la cartella di lavoro nell'area di lavoro per creare un dashboard di ottimizzazione SOC personalizzato.

Nella cartelle di lavoro di ottimizzazione di Microsoft Sentinelselezionare la scheda Ottimizzazione SOC ed espandere gli elementi in Dettagli per visualizzare i dati di ottimizzazione SOC. Modificare la cartella di lavoro per modificare i dati visualizzati in base alle esigenze dell'organizzazione.

Ad esempio:

Per altre informazioni, vedi:

• Scoprire e gestire contenuti predefiniti di Microsoft Sentinel
• Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.

Contenuto correlato

Per altre informazioni, vedi:

• Ottimizzare le operazioni per la sicurezza
• Riferimento dei consigli di ottimizzazione SOC
• Blog: Introduzione all'API di ottimizzazione SOC | Sbloccare la potenza della gestione della sicurezza basata sulla precisione