حذف الحوادث في Microsoft Sentinel في مدخل Microsoft Azure

مهم

حذف الحدث باستخدام المدخل قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

يتوفر حذف الحدث بشكل عام من خلال واجهة برمجة التطبيقات.

تفتح القدرة على إنشاء حوادث من البداية في Microsoft Sentinel في مدخل Microsoft Azure إمكانية إنشاء حدث قررت لاحقا أنه لا ينبغي أن يكون لديك. على سبيل المثال، ربما تكون قد أنشأت حادثا استنادا إلى تقرير موظف، قبل أن تتلقى أي دليل (مثل التنبيهات)، وبعد ذلك بوقت قصير تتلقى تنبيهات تنشئ الحدث المعني تلقائيا. ولكن الآن، لديك حادث مكرر بدون بيانات فيه. في هذا السيناريو، يمكنك حذف الحادث المكرر مباشرة من قائمة انتظار الأحداث في مدخل Microsoft Azure.

حذف حادث ليس بديلا عن إغلاق حادث! يجب حذف حادث فقط عند استيفاء شرط واحد على الأقل من الشروط التالية:

• تم إنشاء الحدث يدويا عن طريق الخطأ.
• الحادث يكرر حادثا آخر بالضبط.
• تم إنشاء الحوادث الخاطئة بشكل مجمع بواسطة قاعدة تحليلات مقطوعة.
• لا يحتوي الحدث على أي بيانات - التنبيهات والكيانات والإشارات المرجعية وما إلى ذلك.

في جميع الحالات الأخرى، عندما لا تكون هناك حاجة إلى حادث، يجب إغلاقه، وليس حذفه. يتطلب إغلاق حادث تحديد سبب إغلاقه، ويسمح لك بإضافة تعليقات إضافية للسياق والتوضيح. إغلاق الحوادث القديمة بهذه الطريقة يحافظ على شفافية وسلامة SOC الخاص بك، ويسمح أيضا بإمكانية إعادة فتح الحدث إذا كانت المشكلة تطفو على السطح.

حذف حدث باستخدام مدخل Microsoft Azure

لحذف حدث واحد:

1. من قائمة التنقل في Microsoft Sentinel، حدد Incidents.

2. في صفحة الحوادث ، حدد الحدث الذي تريد حذفه.

3. حدد عرض التفاصيل الكاملة في جزء التفاصيل لإدخال طريقة عرض التفاصيل الكاملة للحادث.

4. حدد حذف الحادث من شريط الأزرار في الأعلى.

5. أجب بنعم على مطالبة التأكيد التي تظهر.

بدلا من ذلك، يمكنك اتباع الإرشادات لحذف حوادث متعددة (مباشرة أدناه)، ووضع علامة على خانة اختيار حدث واحد.

لحذف حوادث متعددة:

1. من قائمة التنقل في Microsoft Sentinel، حدد Incidents.

2. في صفحة الحوادث ، حدد الحدث أو الحوادث التي تريد حذفها، عن طريق وضع علامة على خانات الاختيار بجوار كل واحدة في شبكة الحوادث.

3. حدد حذف من شريط الأزرار.

4. أجب بنعم على مطالبة التأكيد التي تظهر.

حذف حدث باستخدام واجهة برمجة تطبيقات Microsoft Sentinel

تسمح لك مجموعة عمليات الحوادث بحذف الحوادث بالإضافة إلى إنشاء وتحديث (تحرير)والحصول على (استرداد)وسردها .

يمكنك حذف حدث باستخدام نقطة النهاية التالية. بعد تقديم هذا الطلب، سيكون الحادث مرئيًا في قائمة انتظار الحوادث في البوابة.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

ملاحظات

• لحذف حدث، يجب أن يكون لديك دور Microsoft Sentinel Contributor .

• حذف حادث غير قابل للعكس! بعد حذف حادث، سيكون المرجع الوحيد إليه هو بيانات التدقيق في جدول SecurityIncident في شاشة السجلات. (راجع وثائق مخطط الجدول في Log Analytics). سيتم تحديث حقل الحالة في هذا الجدول إلى "محذوف" لهذا الحدث.

  إشعار

  نظرا إلى حد 64 كيلوبايت لحجم السجل في جدول SecurityIncident ، قد يتم اقتطاع تعليقات الحادث (بدءا من الأقدم) إذا تم تجاوز الحد.

• لا يمكنك حذف الحوادث من داخل Microsoft Sentinel التي تم استيرادها منها ومزامنتها مع Microsoft Defender XDR.

• إذا تم تحديث تنبيه متعلق بحادث محذوف ، أو إذا تم تجميع تنبيه جديد ضمن حدث محذوف، إنشاء حدث جديد لاستبدال التنبيه المحذوف.

الخطوات التالية

لمزيد من المعلومات، راجع:

• إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel
• ربط التنبيهات بالحوادث في Microsoft Sentinel
• التنقل في أحداث Microsoft Sentinel وفرزها وإدارتها
• التحقيق في أحداث Microsoft Sentinel بعمق