مشاركة عبر

حذف الحوادث في Microsoft Sentinel

  • مقالة

هام

حذف الحدث باستخدام المدخل قيد المعاينةحاليًا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

حذف الحادث متاح بشكل عام من خلال API.

تفتح القدرة على إنشاء حوادث من البداية في Microsoft Sentinel إمكانية إنشاء حادثة تقرر لاحقًا أنه لا يجب عليك حدوثها. على سبيل المثال، ربما تكون قد أنشأت حادثة بناءً على تقرير موظف، قبل تلقي أي دليل (مثل التنبيهات)، وبعد ذلك بوقت قصير تتلقى تنبيهات تولد تلقائيًا الحادث المعني. ولكن الآن، لديك حادث مكرر بدون بيانات فيه. في هذا السيناريو، يمكنك حذف الحادث المكرر الخاص بك مباشرةً من قائمة انتظار الحوادث في المدخل.

حذف حادث ليس بديلاً لإغلاق حادث! يجب أن يتم حذف الحادث فقط عند استيفاء واحد على الأقل من الشروط التالية:

  • تم إنشاء الحادث يدويًا عن طريق الخطأ.
  • الحادث بالضبط تكرار حادثة أخرى.
  • تم إنشاء الحوادث المعيبة بشكل مجمّع من خلال قاعدة تحليلات معطلة.
  • لا يحتوي الحادث على بيانات - تنبيهات وكيانات وإشارات مرجعية وما إلى ذلك.

في جميع الحالات الأخرى، عندما لا تكون هناك حاجة إلى حادث، يجب إغلاقه، وليس حذفه. يتطلب منكإغلاق حادث تحديد سبب إغلاقه، ويسمح لك بإضافة تعليقات إضافية للسياق والتوضيح. يؤدي إغلاق الحوادث القديمة بهذه الطريقة إلى الحفاظ على شفافية ونزاهة مركز عمليات الأمن الخاص بك، كما يتيح إمكانية إعادة فتح الحادث إذا ظهرت المشكلة مرة أخرى.

احذف حدث باستخدام مدخل Microsoft Azure

لحذف حدث واحد:

  1. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

  2. في صفحة الحوادث، حدد الحدث الذي تريد حذفه.

  3. حدد عرض التفاصيل الكاملة في جزء التفاصيل لإدخال طريقة عرض التفاصيل الكاملة للحادث.

  4. حدد حذف الحدث من شريط الأزرار في الأعلى. Screenshot of deleting incident from details screen.

  5. الإجابة نعم على مطالبة التأكيد التي تظهر. Screenshot of single incident deletion confirmation dialog.

بدلاً من ذلك، يمكنك اتباع التعليمات الخاصة بحذف عدة حوادث (أدناه مباشرة)، ووضع علامة على خانة الاختيار الخاصة بحادث واحد.

لحذف حوادث متعددة:

  1. من قائمة التنقل Microsoft Azure Sentinel، حدد الحوادث.

  2. في صفحة الحوادث، حدد الحدث أو الحوادث التي تريد حذفها، عن طريق وضع علامة على خانات الاختيار بجوار كل واحدة في شبكة الحوادث.

  3. حدد حذف من شريط الأزرار. Screenshot of deleting multiple incidents from incident queue.

  4. الإجابة نعم على مطالبة التأكيد التي تظهر. Screenshot of multiple-incident-deletion confirmation dialog.

حذف حدث باستخدام واجهة برمجة تطبيقات Microsoft Sentinel

تسمح لك مجموعة عمليات الحوادث بحذف الحوادث بالإضافة إلى إنشاء وتحديث (تحرير) والحصول على (استرداد) وسردها.

يمكنك حذف حدث باستخدام نقطة النهاية التالية. بعد تقديم هذا الطلب، سيكون الحادث مرئيًا في قائمة انتظار الحوادث في البوابة.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

ملاحظات

  • لحذف حدث، يجب أن يكون لديك دور Microsoft Sentinel Contributor.

  • حذف حادث لا يمكن التراجع عنه! بعد حذف حدث، سيكون المرجع الوحيد إليه هو بيانات التدقيق في جدول SecurityIncident في شاشة السجلات. (راجع وثائق مخطط الجدول في Log Analytics). سيتم تحديث حقل الحالة في هذا الجدول إلى "محذوف" لهذا الحدث.

    إشعار

    نظرًا إلى حد 64 كيلوبايت لحجم السجل في جدول SecurityIncident، قد يتم اقتطاع تعليقات الحادث (بدءًا من الأقدم) إذا تم تجاوز الحد.

  • لا يمكنك حذف الحوادث من داخل Microsoft Sentinel التي تم استيرادها منها ومزامنتها مع Microsoft Defender XDR.

  • إذا تم تحديث تنبيه متعلق بحدث محذوف، أو إذا تم تجميع تنبيه جديد ضمن حدث محذوف، فسيتم إنشاء حدث جديد لاستبدال التنبيه المحذوف.

الخطوات التالية

لمزيد من المعلومات، راجع: