Löschen von Incidents in Microsoft Sentinel im Azure-Portal

  • Gilt für:: Microsoft Sentinel in the Azure portal

Wichtig

Das Löschen von Incidents über das Portal befindet sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.

Das Löschen von Incidents ist allgemein über die API verfügbar.

Die Möglichkeit, Incidents in Microsoft Sentinel im Azure-Portal von Grund auf neu zu erstellen, eröffnet die Möglichkeit, dass Sie einen Incident erstellen, den Sie später nicht verwenden sollten. Beispielsweise haben Sie möglicherweise einen Incident basierend auf einem Mitarbeiterbericht erstellt, bevor Sie Beweise (z. B. Warnungen) erhalten haben, und kurz darauf erhalten Sie Warnungen, die den betreffenden Vorfall automatisch generieren. Aber jetzt haben Sie einen doppelten Vorfall ohne Daten darin. In diesem Szenario können Sie Ihren doppelten Incident direkt aus der Incidentwarteschlange im Azure-Portal löschen.

Das Löschen eines Incidents ist kein Ersatz für das Schließen eines Incidents! Das Löschen eines Incidents sollte nur erfolgen, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Der Vorfall wurde versehentlich manuell erstellt.
  • Der Incident dupliziert genau einen anderen Incident.
  • Fehlerhafte Vorfälle wurden durch eine fehlerhafte Analyseregel massenhaft generiert.
  • Der Incident enthält keine Daten – Warnungen, Entitäten, Lesezeichen usw.

In allen anderen Fällen, wenn ein Incident nicht mehr benötigt wird, sollte er geschlossen und nicht gelöscht werden. Das Schließen eines Incidents erfordert, dass Sie den Grund für die Schließung angeben und zusätzliche Kommentare zur Kontext- und Klärungsfunktion hinzufügen können. Das Schließen von alten Vorfällen auf diese Weise bewahrt die Transparenz und Integrität Ihres SOC und ermöglicht es auch, den Vorfall erneut zu öffnen, wenn das Problem erneut auftritt.

Löschen eines Incidents mithilfe des Azure-Portal

So löschen Sie einen einzelnen Incident

  1. Wählen Sie im Microsoft Sentinel Navigationsmenü Incidents aus.

  2. Wählen Sie auf der Seite Incidents den Incident aus, den Sie löschen möchten.

  3. Wählen Sie vollständige Details anzeigen im Detailbereich aus, um die vollständige Detailansicht des Incidents zu öffnen.

  4. Wählen Sie in der Schaltflächenleiste oben Incident löschen aus. Screenshot des Löschens des Incidents aus dem Detailbildschirm.

  5. Antworten Sie mit Ja auf die angezeigte Bestätigungsaufforderung. Screenshot des Bestätigungsdialogfelds für das Löschen einzelner Vorfälle.

Alternativ können Sie die Anweisungen zum Löschen mehrerer Incidents (direkt unten) befolgen und das Kontrollkästchen eines einzelnen Incidents aktivieren.

So löschen Sie mehrere Incidents:

  1. Wählen Sie im Microsoft Sentinel Navigationsmenü Incidents aus.

  2. Wählen Sie auf der Seite Incidents die Incidents aus, die Sie löschen möchten, indem Sie die Kontrollkästchen neben jedem Incident im Raster der Vorfälle aktivieren.

  3. Wählen Sie in der Schaltflächenleiste Löschen aus. Screenshot: Löschen mehrerer Incidents aus der Incidentwarteschlange

  4. Antworten Sie mit Ja auf die angezeigte Bestätigungsaufforderung. Screenshot des Bestätigungsdialogfelds für das Löschen mehrerer Vorfälle.

Löschen eines Incidents mithilfe der Microsoft Sentinel-API

Mit der Vorgangsgruppe Incidents können Sie Incidents löschen sowie erstellen und aktualisieren (bearbeiten),abrufen (abrufen) und auflisten .

Sie löschen einen Incident mithilfe des folgenden Endpunkts. Nachdem diese Anforderung gestellt wurde, wird der Incident in der Incidentwarteschlange im Portal angezeigt.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Hinweise

  • Um einen Incident zu löschen, müssen Sie über die Rolle Microsoft Sentinel Mitwirkender verfügen.

  • Das Löschen eines Incidents ist nicht umkehrbar! Nachdem Sie einen Incident gelöscht haben, sind die Überwachungsdaten in der Tabelle SecurityIncident auf dem Bildschirm Protokolle der einzige Verweis darauf. (Weitere Informationen finden Sie in der Schemadokumentation der Tabelle in Log Analytics. Das Feld Status in dieser Tabelle wird für diesen Vorfall auf "Gelöscht" aktualisiert.

    Hinweis

    Aufgrund des Grenzwerts von 64 KB für die Datensatzgröße in der Tabelle SecurityIncident können Incidentkommentare abgeschnitten werden (beginnend mit dem frühesten), wenn der Grenzwert überschritten wird.

  • Sie können keine Incidents aus Microsoft Sentinel löschen, die aus Microsoft Defender XDR importiert und mit diesen synchronisiert wurden.

  • Wenn eine Warnung im Zusammenhang mit einem gelöschten Incident aktualisiert wird oder eine neue Warnung unter einem gelöschten Incident gruppiert wird, wird ein neuer Incident erstellt, um den gelöschten Incident zu ersetzen.

Nächste Schritte

Weitere Informationen finden Sie unter:

  • Last updated on