以编程方式使用 SOC 优化 (预览版)

使用 Microsoft Sentinel recommendations API 以编程方式与 SOC 优化建议交互，帮助你缩小针对特定威胁的覆盖差距，提高引入率。 可以获取有关工作区中所有当前建议或特定 SOC 优化建议的详细信息，也可以在环境中进行更改时重新评估建议。

例如，使用 recommendations API 可以：

• 生成自定义报表和仪表板。 例如，请参阅 可视化自定义 SOC 优化数据。
• 与第三方工具集成，例如 SOAR 和 ITSM 服务
• 自动实时访问 SOC 优化数据，触发评估并及时响应建议

对于管理多个环境的客户或 MSSP，API recommendations 提供了一种可缩放的方式来处理跨多个工作区的建议。 还可以从 API 导出数据并将其存储在外部，以便审核、存档或跟踪趋势。

获取、更新或重新评估建议

使用 API 的 recommendations以下示例以编程方式与 SOC 优化建议交互：

• 获取工作区中所有当前 SOC 优化建议的列表：

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-preview 
  

• 按建议 ID 获取特定建议：

  GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

  通过首先获取工作区中所有建议的列表来查找建议的 ID 值。

• 将建议的状态更新为“活动”、“正在进行”、“已完成”、“已消除”或“重新激活”：

  PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} 
  

• 手动触发特定建议的评估：

  POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation 
  

可视化自定义 SOC 优化数据

Microsoft Sentinel优化工作簿使用 recommendations API 来可视化 SOC 优化数据。 在工作区中安装并自定义工作簿，以创建自己的自定义 SOC 优化仪表板。

在“Microsoft Sentinel优化工作簿”中，选择“SOC 优化”选项卡，然后展开“详细信息”下的项，以向下钻取以查看 SOC 优化数据。 编辑工作簿以修改组织所需的数据。

例如：

有关更多信息，请参阅：

• 发现和管理Microsoft Sentinel现装内容
• 使用 Microsoft Sentinel 中的工作簿可视化和监视数据。

相关内容

有关更多信息，请参阅：

• 优化安全操作
• SOC 优化建议参考
• 获取建议 REST API 参考
• 博客：SOC 优化 API | 简介解锁精确驱动安全管理的强大功能