Partilhar via


Usando otimizações SOC programaticamente (Visualização)

Use a API do Microsoft Sentinel recommendations para interagir programaticamente com as recomendações de otimização de SOC, ajudando você a fechar lacunas de cobertura contra ameaças específicas e reduzir as taxas de ingestão. Você pode obter detalhes sobre todas as recomendações atuais em seus espaços de trabalho ou uma recomendação específica de otimização de SOC, ou pode reavaliar uma recomendação se tiver feito alterações em seu ambiente.

Por exemplo, use a recommendations API para:

  • Crie relatórios e painéis personalizados. Por exemplo, consulte Visualizar dados personalizados de otimização de SOC.
  • Integração com ferramentas de terceiros, como serviços SOAR e ITSM
  • Obtenha acesso automatizado e em tempo real aos dados de otimização do SOC, acionando avaliações e respondendo prontamente às sugestões

Para clientes ou MSSPs que gerenciam vários ambientes, a recommendations API fornece uma maneira escalável de lidar com recomendações em vários espaços de trabalho. Você também pode exportar dados da API e armazená-los externamente para auditoria, arquivamento ou acompanhamento de tendências.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

A recommendations API está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Obter, atualizar ou reavaliar recomendações

Use os seguintes exemplos da API para interagir com as recomendações de recommendations otimização SOC programaticamente:

  • Obtenha uma lista de todas as recomendações atuais de otimização de SOC em seu espaço de trabalho:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations 
    
  • Obtenha uma recomendação específica por ID de recomendação:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    

    Encontre o valor de ID de uma recomendação obtendo primeiro uma lista de todas as recomendações em seu espaço de trabalho.

  • Atualize o status de uma recomendação para Ativo, Em andamento, Concluído, Descartado ou Reativar:

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
    
  • Acionar manualmente uma avaliação para uma recomendação específica:

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
    

Visualize dados personalizados de otimização de SOC

A pasta de trabalho de otimização do Microsoft Sentinel usa a recommendations API para visualizar dados de otimização SOC. Instale e personalize a pasta de trabalho em seu espaço de trabalho para criar seu próprio painel de otimização SOC personalizado.

Nas Pastas de Trabalho de Otimização do Microsoft Sentinel, selecione a guia Otimização SOC e expanda os itens em Detalhes para fazer uma busca detalhada para exibir os dados de otimização SOC. Edite a pasta de trabalho para modificar os dados mostrados conforme necessário para sua organização.

Por exemplo:

Captura de tela da pasta de trabalho de otimização do Microsoft Sentinel.

Para obter mais informações, consulte:

Para obter mais informações, consulte: