Поделиться через

Удаление инцидентов в Microsoft Sentinel на портале Azure

  • Применяется к: Microsoft Sentinel in the Azure portal

Это важно

Удаление инцидентов с помощью портала в настоящее время находится в предварительной версии. См. Дополнительные условия использования для предварительных версий Microsoft Azure, в которых изложены дополнительные юридические условия, применимые к функциям Azure, находящимся в бета-версии, предварительной версии или еще не доступным в общем пользовании.

Удаление инцидентов обычно доступно через API.

Возможность создания инцидентов с нуля в Microsoft Sentinel на портале Azure открывает возможность создания инцидента, который вы позже решите, что у вас не должно быть. Например, возможно, вы создали инцидент на основе отчета сотрудника, прежде чем получать какие-либо доказательства (например, оповещения), и вскоре после этого вы получите оповещения, которые автоматически создают инцидент в вопросе. Теперь у вас есть дубликат инцидента без данных. В этом сценарии можно удалить повторяющийся инцидент прямо из очереди инцидентов на портале Azure.

Удаление инцидента не является заменой закрытия инцидента! Удаление инцидента должно выполняться только в том случае, если выполняется по крайней мере одно из следующих условий:

  • Инцидент был создан вручную по ошибке.
  • Инцидент точно дублирует другой инцидент.
  • Неисправные инциденты были массово созданы из-за сломанного правила аналитики.
  • Инцидент не содержит никаких данных — оповещений, сущностей, закладок и т. д.

Во всех остальных случаях, когда инцидент больше не нужен, он должен быть закрыт, а не удален. При закрытии инцидента необходимо указать причину закрытия и добавить дополнительные комментарии для контекста и уточнения. Закрытие старых инцидентов таким образом сохраняет прозрачность и целостность вашего SOC, а также позволяет повторно открыть инцидент, если проблема возникает.

Удаление инцидента с помощью портала Azure

Удаление одного инцидента:

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. На странице "Инциденты" выберите инцидент, который требуется удалить.

  3. Выберите "Просмотреть полные сведения " в области сведений, чтобы ввести полное представление сведений об инциденте.

  4. Выберите "Удалить инцидент " в верхней части панели кнопки. Снимок экрана процесса удаления инцидента со страницы сведений.

  5. Ответ "Да " в появившемся запросе на подтверждение. Снимок экрана: диалоговое окно подтверждения удаления одного инцидента.

Кроме того, можно выполнить инструкции по удалению нескольких инцидентов (сразу же ниже) и пометить флажок одного инцидента.

Чтобы удалить несколько инцидентов:

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. На странице "Инциденты" выберите инцидент или инциденты, которые вы хотите удалить, пометив флажки рядом с каждым из них в сетке инцидентов.

  3. Выберите "Удалить" на панели кнопки. Снимок экрана: удаление нескольких инцидентов из очереди инцидентов.

  4. Ответ "Да " в появившемся запросе на подтверждение. Снимок экрана: диалоговое окно подтверждения удаления нескольких инцидентов.

Удаление инцидента с помощью API Microsoft Sentinel

Группа операций "Инциденты" позволяет удалять инциденты , а также создавать и обновлять (редактировать),получать (извлекать) и перечислять их.

Удалите инцидент, используя следующий endpoint. После выполнения этого запроса инцидент будет отображаться в очереди инцидентов на портале.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Примечания.

  • Чтобы удалить инцидент, необходимо иметь роль участника Microsoft Sentinel .

  • Удаление инцидента не является обратимым! После удаления инцидента единственной ссылкой на нее будут данные аудита в таблице SecurityIncident на экране журналов. (См. документацию схемы таблицы в Log Analytics). Поле "Состояние " в этой таблице будет обновлено до "Удалено" для этого инцидента.

    Примечание.

    Из-за 64 КБ размера записи в таблице SecurityIncident комментарии инцидентов могут быть усечены (начиная с самой ранней версии), если ограничение превышено.

  • Не удается удалить инциденты из Microsoft Sentinel, которые были импортированы и синхронизированы с XDR в Microsoft Defender.

  • Если оповещение , связанное с удаленным инцидентом , обновляется или если новое оповещение сгруппировано под удаленным инцидентом, будет создан новый инцидент для замены удаленного.

Дальнейшие действия

Дополнительные сведения можно найти здесь

  • Last updated on