共用方式為

以程式設計方式使用 SOC 最佳化 (預覽)

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

使用 Microsoft Sentinel recommendations API,以程式設計方式與 SOC 最佳化建議互動,協助您縮小涵蓋範圍,防止特定威脅和收緊擷取率。 您可以取得工作區或特定 SOC 最佳化建議中所有目前建議的詳細資料,或者,如果您在環境中做了變更,也可以重新評估建議。

例如,使用 recommendations API 進行:

  • 建置自訂報表和儀表板。 例如,請參閱視覺化自訂 SOC 最佳化資料
  • 與第三方工具整合,例如 SOAR 和 ITSM 服務
  • 取得 SOC 最佳化資料的自動化即時存取、觸發評估並立即回應建議

對於管理多個環境的客戶或 MSSP,recommendations API 提供可調整的方式來處理多個工作區的建議。 您也可以從 API 匯出資料,並將其儲存在外部以進行稽核、封存或追蹤趨勢。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

recommendations API 位於 PREVIEW中。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

取得、更新或重新評估建議

使用下列 recommendations API 範例,以程式設計方式與 SOC 最佳化建議互動:

  • 取得工作區中所有目前 SOC 最佳化建議的清單

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations

  • 依建議識別碼取得特定建議:

    GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

    先取得工作區中所有建議的清單,以尋找建議的識別碼值。

  • 將建議的狀態更新為作用中進行中已完成已關閉重新啟用

    PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}

  • 手動觸發特定建議的評估

    POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation

視覺化自訂 SOC 最佳化資料

Microsoft Sentinel 最佳化活頁簿會使用 recommendations API 將 SOC 最佳化資料視覺化。 在工作區中安裝並自訂活頁簿,以建立您自己的自訂 SOC 最佳化儀表板。

在 [Microsoft Sentinel 最佳化活頁簿] 中,選取 [SOC 最佳化] 索引標籤,然後展開 [詳細資料] 底下的項目,向下切入以檢視 SOC 最佳化資料。 編輯活頁簿以修改組織所需顯示的資料。

例如:

Microsoft Sentinel 最佳化活頁簿的螢幕擷取畫面。

如需詳細資訊,請參閱

相關內容

如需詳細資訊,請參閱