Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez l’API recommendations Microsoft Sentinel pour interagir par programmation avec les recommandations d’optimisation de SOC, ce qui vous permet de combler les lacunes de couverture contre des menaces spécifiques et de renforcer les taux d’ingestion. Vous pouvez obtenir des détails sur toutes les recommandations actuelles sur vos espaces de travail ou une recommandation d’optimisation de SOC spécifique, ou vous pouvez réévaluer une recommandation si vous avez apporté des modifications dans votre environnement.
Par exemple, utilisez l’API recommendations pour :
- Créer des rapports et des tableaux de bord personnalisés. Par exemple, consultez Visualiser les données d’optimisation de SOC personnalisées.
- Intégrer à des outils tiers, tels que pour les services SOAR et ITSM
- Obtenir un accès automatisé et en temps réel aux données d’optimisation de SOC, déclencher des évaluations et répondre rapidement aux suggestions
Pour les clients ou les MSSP gérant plusieurs environnements, l’API recommendations offre un moyen évolutif de gérer les recommandations sur plusieurs espaces de travail. Vous pouvez également exporter des données à partir de l’API et les stocker en externe pour l’audit, l’archivage ou le suivi des tendances.
Important
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux utilisateurs sont également automatiquement intégrés et redirigés à partir du portail Azure vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.
L’API recommendations est en PRÉVERSIONet utilise la version 2024-01-01-preview ou une version ultérieure. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Obtenir, mettre à jour ou réévaluer les recommandations
Pour interagir avec les recommandations d’optimisation SOC par programmation, utilisez les exemples suivants de l’API recommendations` :
Obtenez la liste de toutes les recommandations d’optimisation de SOC actuelles dans votre espace de travail :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewObtenez une recommandation spécifique par ID de recommandation :
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Recherchez d’abord la valeur d’ID d’une recommandation en obtenant la liste de toutes les recommandations dans votre espace de travail.
Mettez à jour l’état d’une recommandation sur Actif, En cours, Terminé, Ignoré ou Réactiver :
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Déclenchez manuellement une évaluation pour une recommandation spécifique :
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualiser les données d’optimisation de SOC personnalisées
Le classeur d’optimisation Microsoft Sentinel utilise l’API recommendations pour visualiser les données d’optimisation de SOC. Installez et personnalisez le classeur dans votre espace de travail pour créer votre propre tableau de bord d’optimisation de SOC personnalisé.
Dans les Classeurs d’optimisation Microsoft Sentinel, sélectionnez l’onglet Optimisation SOC et développez les éléments sous Détails pour explorer les données d’optimisation de SOC. Modifiez le classeur pour changer les données affichées selon les besoins de votre organisation.
Par exemple :
Pour plus d’informations, consultez l’article suivant :
- Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
- Visualisez et supervisez vos données à l’aide de classeurs dans Microsoft Sentinel.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :
- Optimiser vos opérations de sécurité
- Informations de référence sur les recommandations d’optimisation du SOC
- Obtenir les informations de référence de l’API REST des Recommandations
- Blogs : Présentation de l’API d’optimisation de SOC | Déverrouiller la puissance de la gestion de la sécurité basée sur la précision