Usar otimizações SOC programaticamente (Visualização)

Use a API do Microsoft Sentinel recommendations para interagir programaticamente com as recomendações de otimização de SOC, ajudando você a fechar lacunas de cobertura contra ameaças específicas e reduzir as taxas de ingestão. Você pode obter detalhes sobre todas as recomendações atuais em seus espaços de trabalho ou uma recomendação específica de otimização de SOC, ou pode reavaliar uma recomendação se tiver feito alterações em seu ambiente.

Por exemplo, use a recommendations API para:

• Crie relatórios e painéis personalizados. Por exemplo, consulte Visualizar dados personalizados de otimização de SOC.
• Integração com ferramentas de terceiros, como serviços SOAR e ITSM
• Obtenha acesso automatizado e em tempo real aos dados de otimização do SOC, acionando avaliações e respondendo prontamente às sugestões

Para clientes ou MSSPs que gerenciam vários ambientes, a recommendations API fornece uma maneira escalável de lidar com recomendações em vários espaços de trabalho. Você também pode exportar dados da API e armazená-los externamente para auditoria, arquivamento ou acompanhamento de tendências.

Obter, atualizar ou reavaliar recomendações

Use os seguintes exemplos da API ' para interagir com as recomendações de recommendationsotimização SOC programaticamente:

• Obtenha uma lista de todas as recomendações atuais de otimização de SOC em seu espaço de trabalho:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview 
  

• Obtenha uma recomendação específica por ID de recomendação:

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  Encontre o valor de ID de uma recomendação obtendo primeiro uma lista de todas as recomendações em seu espaço de trabalho.

• Atualize o status de uma recomendação para Ativo, Em andamento, Concluído, Descartado ou Reativar:

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• Acionar manualmente uma avaliação para uma recomendação específica:

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

Visualize dados personalizados de otimização de SOC

O caderno de otimização do Microsoft Sentinel usa a recommendations API para visualizar dados de otimização do SOC. Instale e personalize a pasta de trabalho em seu espaço de trabalho para criar seu próprio painel de otimização SOC personalizado.

Nas Pastas de Trabalho de Otimização do Microsoft Sentinel, selecione a guia Otimização SOC e expanda os itens em Detalhes para fazer uma busca detalhada para exibir os dados de otimização SOC. Edite a pasta de trabalho para modificar os dados mostrados conforme necessário para sua organização.

Por exemplo:

Para obter mais informações, consulte:

• Descubra e gere conteúdo pré-configurado do Microsoft Sentinel
• Visualize e monitore seus dados usando pastas de trabalho no Microsoft Sentinel.

Conteúdos relacionados

Para obter mais informações, consulte:

• Otimize suas operações de segurança
• Recomendações de referência para otimização de SOC
• Referência da API REST para Obter Recomendações
• Blogs: Apresentando a API | de otimização SOCDesbloqueie o poder do gerenciamento de segurança orientado com precisão