Dela via

Ta bort incidenter i Microsoft Sentinel

  • Artikel

Viktigt!

Incidentborttagning med hjälp av portalen finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Incidentborttagning är allmänt tillgängligt via API:et.

Möjligheten att skapa incidenter från grunden i Microsoft Sentinel öppnar möjligheten att du skapar en incident som du senare bestämmer dig för att du inte ska ha. Du kan till exempel ha skapat en incident baserat på en medarbetares rapport innan du har fått några bevis (till exempel aviseringar) och strax därefter får du aviseringar som automatiskt genererar incidenten i fråga. Men nu har du en duplicerad incident utan data i den. I det här scenariot kan du ta bort den duplicerade incidenten direkt från incidentkön i portalen.

Att ta bort en incident är inte en ersättning för att stänga en incident! Du bör bara ta bort en incident när minst ett av följande villkor uppfylls:

  • Incidenten skapades manuellt av misstag.
  • Incidenten duplicerar exakt en annan incident.
  • Felaktiga incidenter genererades i bulk av en bruten analysregel.
  • Incidenten innehåller inga data – aviseringar, entiteter, bokmärken och så vidare.

I alla andra fall, när en incident inte längre behövs, bör den stängas, inte tas bort. Om du stänger en incident måste du ange orsaken till att den stängs och du kan lägga till ytterligare kommentarer för kontext och förtydligande. Om du stänger gamla incidenter på det här sättet bevaras transparensen och integriteten i din SOC, och det möjliggör även möjligheten att återuppta incidenten om problemet dyker upp igen.

Ta bort en incident med hjälp av Azure-portalen

Så här tar du bort en enskild incident:

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Incidenter.

  2. På sidan Incidenter väljer du den incident som du vill ta bort.

  3. Välj Visa fullständig information i informationsfönstret för att ange incidentens fullständiga informationsvy.

  4. Välj Ta bort incident i knappfältet längst upp. Screenshot of deleting incident from details screen.

  5. Svara Ja på bekräftelseprompten som visas. Screenshot of single incident deletion confirmation dialog.

Du kan också följa anvisningarna för att ta bort flera incidenter (omedelbart nedan) och markera kryssrutan för en enskild incident.

Så här tar du bort flera incidenter:

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Incidenter.

  2. På sidan Incidenter väljer du den incident eller de incidenter som du vill ta bort genom att markera kryssrutorna bredvid var och en i incidentrutnätet.

  3. Välj Ta bort i knappfältet. Screenshot of deleting multiple incidents from incident queue.

  4. Svara Ja på bekräftelseprompten som visas. Screenshot of multiple-incident-deletion confirmation dialog.

Ta bort en incident med hjälp av Microsoft Sentinel-API:et

Med åtgärdsgruppen Incidenter kan du ta bort incidenter samt skapa och uppdatera (redigera), hämta (hämta) och visa en lista över dem.

Du tar bort en incident med hjälp av följande slutpunkt. När den här begäran har gjorts visas incidenten i incidentkön i portalen.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Kommentar

  • Om du vill ta bort en incident måste du ha rollen Microsoft Sentinel-deltagare.

  • Att ta bort en incident är inte reversibelt! När du har tagit bort en incident är den enda referensen till den granskningsdata i tabellen SecurityIncident på skärmen Loggar. (Se tabellens schemadokumentation i Log Analytics). Fältet Status i tabellen uppdateras till "Borttaget" för incidenten.

    Kommentar

    På grund av 64 KB-gränsen för poststorleken i tabellen SecurityIncident kan incidentkommentarer trunkeras (från och med tidigast) om gränsen överskrids.

  • Du kan inte ta bort incidenter från Microsoft Sentinel som har importerats från och synkroniserats med Microsoft Defender XDR.

  • Om en avisering som är relaterad till en borttagen incident uppdateras, eller om en ny avisering grupperas under en borttagen incident, skapas en ny incident för att ersätta den borttagna.

Nästa steg

Mer information finns i: