Поделиться через

Удаление инцидентов в Microsoft Sentinel

  • Статья

Важно!

Удаление инцидентов с помощью портала в настоящее время предоставляется в режиме предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Удаление инцидентов через API поддерживается в общедоступном режиме.

Возможность создания инцидентов с нуля в Microsoft Sentinel может привести к тому, что вы создадите инцидент, который при дальнейшем анализе будет сочтен ненужным. Например, вы создадите инцидент по сообщению сотрудника без дополнительных доказательств (таких как оповещения), а вскоре после этого аналогичный инцидент будет создан автоматически, когда поступят эти оповещения. В итоге у вас присутствуют два одинаковых инцидента, в одном из которых нет никаких данных. В этом сценарии вы можете просто удалить ненужный дубликат прямо из очереди инцидентов на портале.

Удаление инцидента нельзя выполнять вместо закрытия инцидента! Удаление инцидента допустимо применять только при выполнении хотя бы одного из следующих условий:

  • инцидент был создан вручную и считается ошибочным;
  • инцидент точно дублирует другой инцидент;
  • некорректно настроенное правило аналитики массово создало ошибочные инциденты;
  • инцидент не содержит никаких данных (оповещений, сущностей, закладок и так далее).

Во всех остальных случаях ненужны инцидент должен быть закрыт, а не удален. При закрытии инцидента вам нужно указать причину закрытия и есть возможность добавить дополнительные комментарии для понимания контекста и ситуации. Правильное закрытие старых инцидентов сохраняет прозрачность и целостность данных SOC, а также позволяет повторно открывать инциденты в случае повторного проявления проблем.

Удаление инцидента с помощью портала Azure

Чтобы удалить один инцидент, выполните приведенные далее действия.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. На странице Инциденты выберите инцидент, который требуется удалить.

  3. Щелкните Просмотр полных сведений в области сведений, чтобы перейти в представление подробных сведений об инциденте.

  4. Щелкните Удалить инцидент на панели кнопок в верхней части окна. Screenshot of deleting incident from details screen.

  5. Выберите ответ Да в появившемся запросе на подтверждение. Screenshot of single incident deletion confirmation dialog.

Кроме того, можно выполнить инструкции по удалению нескольких инцидентов (в следующем разделе) и установить только один флажок для одного инцидента.

Чтобы удалить несколько инцидентов, выполните следующие действия.

  1. В меню навигации Microsoft Sentinel выберите Инциденты.

  2. На странице Инциденты выберите один или несколько инцидентов, которые требуется удалить, установив флажки рядом с каждым из них в сетке инцидентов.

  3. Щелкните Удалить на панели кнопок. Screenshot of deleting multiple incidents from incident queue.

  4. Выберите ответ Да в появившемся запросе на подтверждение. Screenshot of multiple-incident-deletion confirmation dialog.

Удаление инцидента через API Microsoft Sentinel

Группа операций Инциденты позволяет удалять инциденты, а также создавать и обновлять (редактировать),получать (извлекать) и выводить список.

Чтобы удалить инцидент, используется следующая конечная точка. После выполнения этого запроса инцидент будет отображаться в очереди инцидентов на портале.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Примечания.

  • Для удаления инцидента нужно иметь роль участника Microsoft Sentinel.

  • Удаление инцидента необратимо! После удаления инцидента упоминание о нем остается только в данных аудита в таблице SecurityIncident на экране журналов. (Подробнее см. документацию по схеме таблицы в Log Analytics). Поле Состояние в этой таблице получит значение "Удалено" для этого инцидента.

    Примечание.

    Из-за ограничения в 64 КБ на размер записи в таблице SecurityIncident комментарии к инцидентам могут усекаться (начиная с самого раннего).

  • Не удается удалить инциденты из Microsoft Sentinel, которые были импортированы и синхронизированы с XDR в Microsoft Defender.

  • Если обновится оповещение, связанное с удаленным инцидентом, или новое оповещение попадет в группу удаленного инцидента, будет создан новый инцидент вместо удаленного.

Дальнейшие действия

Дополнительные сведения см. в разделе: