Supprimer des incidents dans Microsoft Sentinel
Important
La suppression d’incident à l’aide du portail est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
La suppression d’incident est en disponibilité générale via l’API.
La possibilité de créer des incidents à partir de zéro dans Microsoft Sentinel offre l’opportunité de créer un incident que vous décidez ultérieurement de ne pas avoir. Par exemple, vous avez peut-être créé un incident basé sur un rapport d’employé, avant d’avoir reçu des preuves (telles que des alertes), et peu de temps après, vous recevez des alertes qui génèrent automatiquement l’incident en question. Mais maintenant, vous avez un incident en double sans données. Dans ce scénario, vous pouvez supprimer votre incident en double directement de la file d’attente des incidents dans le portail.
La suppression d’un incident ne remplace pas la fermeture d’un incident ! La suppression d’un incident ne doit être effectuée que lorsqu’au moins l’une des conditions suivantes est remplie :
- L’incident a été créé manuellement par erreur.
- L’incident duplique exactement un autre incident.
- Des incidents défectueux ont été générés en bloc par une règle d’analyse endommagée.
- L’incident ne contient pas de données : alertes, entités, signets, etc.
Dans tous les autres cas, lorsqu’un incident n’est plus nécessaire, il doit être fermé, et non supprimé. Fermer un incident vous oblige à spécifier la raison de sa fermeture et vous permet d’ajouter des commentaires supplémentaires de contexte et de clarification. La fermeture d’anciens incidents de cette façon préserve la transparence et l’intégrité de votre SOC, et permet également de rouvrir l’incident si le problème ressurgit.
Supprimer un incident à l’aide du Portail Azure
Pour supprimer un seul incident :
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Incidents.
Dans la page Incidents, sélectionnez l’incident que vous souhaitez supprimer.
Sélectionnez Afficher tous les détails dans le volet d’informations pour accéder à la vue de détails de l’incident.
Sélectionnez Supprimer l’incident dans la barre de boutons en haut.
Répondez Oui à l’invite de confirmation qui s’affiche.
Vous pouvez également suivre les instructions relatives à la suppression de plusieurs incidents (juste ci-dessous) et marquer la case à cocher d’un seul incident.
Pour supprimer plusieurs incidents :
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Incidents.
Dans la page Incidents, sélectionnez l’incident ou les incidents que vous souhaitez supprimer, en marquant les cases à cocher en regard de chacun d’entre eux dans la grille des incidents.
Sélectionnez Supprimer dans la barre de boutons.
Répondez Oui à l’invite de confirmation qui s’affiche.
Supprimer un incident à l’aide de l’API Microsoft Sentinel
Le groupe d’opérations Incidents vous permet de supprimer des incidents, ainsi que de les créer et mettre à jour (modifier), obtenir (récupérer) et répertorier.
Vous supprimez un incident à l’aide du point de terminaison suivant. Une fois cette requête effectuée, l’incident et sera visible dans la liste d’attente d’incidents dans le portail.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Notes
Pour supprimer un incident, vous devez disposer du rôle Contributeur Microsoft Sentinel.
La suppression d’un incident est irréversible ! Après avoir supprimé un incident, la seule référence à celui-ci résidera dans les données d’audit de la table SecurityIncident dans l’écran Journaux. (Consultez la documentation de schéma de la table dans Log Analytics). Le champ État de cette table est mis à jour sur « Supprimé » pour cet incident.
Notes
En raison de la limite de 64 Ko de la taille de l’enregistrement dans la table SecurityIncident, les commentaires d’incident peuvent être tronqués (à partir du plus ancien) si la limite est dépassée.
Vous ne pouvez pas supprimer les incidents de Microsoft Sentinel qui ont été importés et synchronisés avec Microsoft Defender XDR.
Si une alerte liée à un incident supprimé est mise à jour ou si une nouvelle alerte est regroupée sous un incident supprimé, un nouvel incident est créé pour remplacer celui supprimé.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :