Megosztás a következőn keresztül:

Incidensek törlése a Microsoft Sentinelben

  • Cikk

Fontos

Az incidensek törlése a portálon jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az incidensek törlése általában az API-val érhető el.

Az incidensek a Microsoft Sentinelben való létrehozásának lehetősége lehetőséget ad arra, hogy olyan incidenst hozzon létre, amelyről később úgy dönt, hogy nem kellene. Előfordulhat például, hogy egy alkalmazotti jelentés alapján létrehozott egy incidenst, mielőtt bármilyen bizonyítékot (például riasztást) kapott volna, és nem sokkal később olyan riasztásokat kap, amelyek automatikusan generálják a szóban forgó incidenst. De most már van egy duplikált incidense, amelyben nincsenek benne adatok. Ebben az esetben közvetlenül a portál incidenssorából törölheti az ismétlődő incidenst.

Az incidens törlése nem helyettesíti az incidens bezárását! Az incidens törlését csak akkor szabad elvégezni, ha az alábbi feltételek közül legalább egy teljesül:

  • Az incidenst véletlenül manuálisan hozták létre.
  • Az incidens pontosan duplikál egy másik incidenst.
  • A hibás incidenseket egy hibás elemzési szabály tömegesen generálta.
  • Az incidens nem tartalmaz adatokat – riasztásokat, entitásokat, könyvjelzőket stb.

Minden más esetben, ha egy incidensre már nincs szükség, azt be kell zárni, nem törölni kell. Az incidensek bezárásához meg kell adnia a bezárásának okát, és lehetővé teszi további megjegyzések hozzáadását a környezethez és a pontosításhoz. A régi incidensek ily módon történő bezárása megőrzi az SOC átláthatóságát és integritását, és lehetővé teszi az incidens újbóli megnyitását is, ha a probléma újra jelentkezik.

Incidens törlése az Azure Portal használatával

Egyetlen incidens törlése:

  1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

  2. Az Incidensek lapon válassza ki a törölni kívánt incidenst.

  3. Az incidens teljes részletes nézetének megadásához válassza a Részletek panel teljes adatainak megtekintése lehetőséget.

  4. Válassza az Incidens törlése lehetőséget a felső gombsávon. Screenshot of deleting incident from details screen.

  5. Válasz Igen a megjelenő megerősítési kérdésre. Screenshot of single incident deletion confirmation dialog.

Másik lehetőségként követheti a több incidens törlésére vonatkozó utasításokat (közvetlenül alább), és megjelölheti egyetlen incidens jelölőnégyzetét.

Több incidens törlése:

  1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

  2. Az Incidensek lapon jelölje ki a törölni kívánt incidenseket vagy incidenseket az incidensek rácsán lévő jelölőnégyzetek bejelölésével.

  3. Válassza a Törlés lehetőséget a gombsávon. Screenshot of deleting multiple incidents from incident queue.

  4. Válasz Igen a megjelenő megerősítési kérdésre. Screenshot of multiple-incident-deletion confirmation dialog.

Incidens törlése a Microsoft Sentinel API használatával

Az Incidensek műveletcsoport lehetővé teszi az incidensek törlését, valamint az incidensek létrehozását és frissítését (szerkesztését), lekérését (lekérését) és listázását.

Az alábbi végpont használatával törölhet egy incidenst . A kérést követően az incidens látható lesz a portál incidenssorában.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Jegyzetek

  • Az incidens törléséhez Microsoft Sentinel közreműködői szerepkörre van szüksége.

  • Az incidens törlése nem visszafordítható! Az incidens törlése után az egyetlen hivatkozás erre a Naplók képernyő SecurityIncident táblájának naplózási adatai lesznek. (Tekintse meg a táblázat sémadokumentációját a Log Analyticsben). A tábla Állapot mezőjét a rendszer "Törölt" értékre frissíti az adott incidenshez.

    Megjegyzés:

    A SecurityIncident tábla rekordméretének 64 KB-os korlátja miatt az incidens megjegyzései csonkoltak lehetnek (a legkorábbitól kezdve), ha túllépik a korlátot.

  • A Microsoft Sentinelből importált és a Microsoft Defender XDR-vel szinkronizált incidensek nem törölhetők.

  • Ha egy törölt incidenshez kapcsolódó riasztás frissül, vagy ha egy új riasztás egy törölt incidens alá van csoportosítva, a rendszer új incidenst hoz létre a törölt incidens lecseréléséhez.

További lépések

For more information, see: