Microsoft Sentinel recommendations API を使用して、プログラムによって SOC 最適化の推奨事項と対話し、特定の脅威に対するカバレッジ ギャップを埋め、インジェスト率を引き締めるのに役立ちます。 ワークスペース全体の現在のすべての推奨事項または特定の SOC 最適化の推奨事項に関する詳細を取得したり、環境で変更を加えた場合に推奨事項を再評価したりできます。
たとえば、 recommendations API を使用して、次の手順を実行します。
- カスタム レポートとダッシュボードを構築します。 たとえば、「 カスタム SOC 最適化データを視覚化する」を参照してください。
- SOAR や ITSM サービスなどのサード パーティ製ツールとの統合
- SOC 最適化データへの自動リアルタイム アクセスを取得し、評価をトリガーし、提案に迅速に応答する
複数の環境を管理する顧客または MSP の場合、 recommendations API は、複数のワークスペース間で推奨事項を処理するためのスケーラブルな方法を提供します。 また、API からデータをエクスポートし、監査、アーカイブ、または追跡の傾向のために外部に格納することもできます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
recommendations API はプレビュー段階であり、バージョン 2024-01-01-preview 以降を使用します。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
推奨事項を取得、更新、または再評価する
SOC 最適化の推奨事項をプログラムで操作するには、 recommendations API の次の例を使用します。
ワークスペース内のすべての現在の SOC 最適化の推奨事項の一覧を取得します。
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview推奨事項 ID で特定の推奨事項を取得します。
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}最初にワークスペース内のすべての推奨事項の一覧を取得して、推奨事項の ID 値を見つけます。
推奨事項の状態を [アクティブ]、[進行中]、[完了]、[無視済み]、または [再アクティブ化] に更新します。
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}特定の推奨事項の評価を手動でトリガーします。
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
カスタム SOC 最適化データを視覚化する
Microsoft Sentinel最適化ブックでは、recommendations API を使用して SOC 最適化データを視覚化します。 ワークスペースにブックをインストールしてカスタマイズし、独自のカスタム SOC 最適化ダッシュボードを作成します。
Microsoft Sentinel最適化ブックで、[SOC の最適化] タブを選択し、[詳細] の下の項目を展開してドリルダウンして SOC 最適化データを表示します。 ブックを編集して、organizationに必要に応じて表示されるデータを変更します。
例:
詳細については、以下を参照してください:
関連コンテンツ
詳細については、以下を参照してください: