Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die recommendations-API von Microsoft Sentinel, um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren und dadurch Optimierungslücken gegen bestimmte Bedrohungen zu schließen und die Erfassungsraten zu erhöhen. Sie können Details zu allen aktuellen Empfehlungen in Ihren Arbeitsbereichen oder eine bestimmte SOC-Optimierungsempfehlung abrufen oder eine Empfehlung erneut bewerten, wenn Sie Änderungen in Ihrer Umgebung vorgenommen haben.
Verwenden Sie beispielsweise die recommendations-API für Folgendes:
- Erstellen von benutzerdefinierten Berichten und Dashboards. Siehe z. B. Visualisieren von benutzerdefinierten SOC-Optimierungsdaten.
- Integrieren in Drittanbietertools, z. B. für SOAR- und ITSM-Dienste
- Erhalten Sie automatisierten Echtzeitzugriff auf SOC-Optimierungsdaten, sodass Sie Auswertungen auslösen und umgehend auf die Vorschläge reagieren können.
Für Kunden oder MSSPs, die mehrere Umgebungen verwalten, bietet die recommendations-API eine skalierbare Möglichkeit, Empfehlungen über mehrere Arbeitsbereiche hinweg zu behandeln. Sie können auch Daten aus der API exportieren und extern für die Überwachung, die Archivierung oder die Nachverfolgung von Trends speichern.
Wichtig
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Benutzer ebenfalls automatisch eingebunden und vom Azure-Portal zum Defender-Portal umgeleitet. Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Die recommendations API befindet sich in PREVIEW und verwendet Version 2024-01-01-preview oder höher. Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Abrufen, Aktualisieren oder erneutes Bewerten von Empfehlungen
Verwenden Sie die folgenden Beispiele der recommendations-API, um programmgesteuert mit SOC-Optimierungsempfehlungen zu interagieren:
Hier erhalten Sie eine Liste aller aktuellen SOC-Optimierungsempfehlungen in Ihrem Arbeitsbereich:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations?api-version=2024-01-01-previewErhalten Sie eine bestimmte Empfehlung anhand der Empfehlungs-ID:
GET /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Suchen Sie den ID-Wert einer Empfehlung, indem Sie zuerst eine Liste aller Empfehlungen in Ihrem Arbeitsbereich abrufen.
Aktualisieren Sie den Status einer Empfehlung auf "Aktiv", " In Bearbeitung", " Abgeschlossen", " Geschlossen" oder "Reaktivieren":
PATCH /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId}Manuelles Auslösen einer Auswertung für eine bestimmte Empfehlung:
POST /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/recommendations/{recommendationId} /triggerEvaluation
Visualisieren von benutzerdefinierten SOC-Optimierungsdaten
Die Microsoft Sentinel-Optimierungsarbeitsmappe verwendet die recommendations API zum Visualisieren von SOC-Optimierungsdaten. Installieren Sie die Arbeitsmappe in Ihrem Arbeitsbereich, und passen Sie sie an, um Ihr eigenes benutzerdefiniertes SOC-Optimierungsdashboard zu erstellen.
Wählen Sie in den Microsoft Sentinel-Optimierungsarbeitsmappen die Registerkarte SOC-Optimierung aus und erweitern Sie die Elemente unter Details, um Details zu SOC-Optimierungsdaten anzuzeigen. Bearbeiten Sie die Arbeitsmappe, um die angezeigten Daten für den Bedarf in Ihrer Organisation zu ändern.
Zum Beispiel:
Weitere Informationen finden Sie unter:
- Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel
- Visualisieren und überwachen Sie Ihre Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: