Freigeben über


Löschen von Vorfällen in Microsoft Sentinel

Wichtig

Das Löschen von Vorfällen mithilfe des Portals befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Das Löschen von Vorfällen erfolgt in der Regel über die API.

Dadurch, dass Vorfälle von Grund auf neu in Microsoft Sentinel erstellt werden können, ergibt sich die Möglichkeit, dass Sie einen Vorfall erstellen, bei dem Sie später feststellen, dass Sie nicht haben sollten. Beispielsweise haben Sie möglicherweise einen Vorfall auf der Grundlage eines Mitarbeiterberichts erstellt, bevor Sie Nachweise (z. B. Warnungen) erhalten haben, und bald darauf erhalten Sie Warnungen, die den betreffenden Vorfall automatisch generieren. Aber jetzt haben Sie einen doppelten Vorfall, ohne dass darin Daten enthalten sind. In diesem Szenario können Sie Ihren doppelten Vorfall direkt aus der Vorfallwarteschlange im Portal löschen.

Das Löschen eines Vorfalls ist kein Ersatz für das Schließen eines Vorfalls! Ein Vorfall sollte nur gelöscht werden, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Der Vorfall wurde fälschlicherweise manuell erstellt.
  • Der Vorfall ist genau derselbe wie ein anderer Vorfall.
  • Durch eine defekte Analyseregel wurden in Massen fehlerhafte Vorfälle generiert.
  • Der Vorfall enthält keine Daten – Warnungen, Entitäten, Textmarken usw.

In allen anderen Fällen, wenn ein Vorfall nicht mehr benötigt wird, sollte es geschlossen und nicht gelöscht werden. Zum Schließen eines Vorfalls ist es erforderlich, dass Sie den Grund des Schließens angeben und zusätzliche Kommentare für Kontext und Klärung hinzufügen. Durch das Schließen alter Vorfälle auf diese Weise werden die Transparenz und die Integrität Ihrer SOC beibehalten und es bietet sich die Möglichkeit, den Vorfall erneut zu öffnen, wenn das Problem wieder auftritt.

Löschen eines Vorfalls im Azure-Portal

So löschen Sie einen einzelnen Vorfall:

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

  2. Wählen Sie auf der Seite Vorfälle den Vorfall aus, den Sie löschen möchten.

  3. Wählen Sie Vollständige Details anzeigen im Detailbereich aus, um die vollständige Detailansicht des Vorfalls anzuzeigen.

  4. Wählen Sie Vorfall löschen aus der Schaltflächenleiste oben aus. Screenshot of deleting incident from details screen.

  5. Antworten Sie mit Ja auf die angezeigte Aufforderung zur Bestätigung. Screenshot of single incident deletion confirmation dialog.

Alternativ können Sie die Anweisungen zum Löschen mehrerer Vorfälle (unmittelbar unten) befolgen und das Kontrollkästchen eines einzelnen Vorfalls aktivieren.

So löschen Sie mehrere Vorfälle:

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Vorfälle aus.

  2. Wählen Sie auf der Seite Vorfälle den oder die Vorfälle aus, die Sie löschen möchten, indem Sie die Kontrollkästchen neben jedem Vorfall im Vorfallraster markieren.

  3. Wählen Sie auf der Schaltflächenleiste die Option Löschen aus. Screenshot of deleting multiple incidents from incident queue.

  4. Antworten Sie mit Ja auf die angezeigte Aufforderung zur Bestätigung. Screenshot of multiple-incident-deletion confirmation dialog.

Löschen eines Vorfalls mithilfe der Microsoft Sentinel-API

Mit der Vorgangsgruppe Vorfälle können Sie Vorfälle löschen, erstellen, aktualisieren (bearbeiten), abrufen und auflisten.

Mithilfe des folgenden Endpunkts können Sie Vorfälle löschen. Nach dieser Anforderung wird der Vorfall in der Vorfallwarteschlange im Portal angezeigt.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notizen

  • Um einen Vorfall zu löschen, müssen Sie über die Rolle Microsoft Sentinel-Mitwirkender verfügen.

  • Das Löschen eines Vorfalls ist nicht umkehrbar! Nachdem Sie einen Vorfall gelöscht haben, verweisen nur noch die Überwachungsdaten in der SecurityIncident-Tabelle auf dem Protokollbildschirm auf ihn. (Siehe die Schemadokumentation der Tabelle in Log Analytics). Das Feld Status in dieser Tabelle wird für diesen Vorfall auf „Gelöscht“ gesetzt.

    Hinweis

    Aufgrund des Grenzwerts von 64 KB pro Datensatz in der SecurityIncident-Tabelle können Vorfallkommentare (ab dem ersten) abgeschnitten werden, wenn der Grenzwert überschritten wird.

  • Sie können Vorfälle nicht aus Microsoft Sentinel löschen, die aus Microsoft Defender XDR importiert und synchronisiert wurden.

  • Wenn eine Warnung in Bezug auf einen gelöschten Vorfall aktualisiert wird, oder wenn eine neue Warnung unter einem gelöschten Vorfall angezeigt wird, wird ein neuer Vorfall erstellt, der den gelöschten Vorfall ersetzt.

Nächste Schritte

Weitere Informationen finden Sie unter