Microsoft Sentinel'de olayları silme

Makale
12/09/2023

Önemli

Portalı kullanarak olay silme işlemi şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Olay silme işlemi genellikle API aracılığıyla kullanılabilir.

Microsoft Sentinel'de sıfırdan olay oluşturma özelliği, daha sonra yapmamanız gerektiğine karar vereceğiniz bir olay oluşturma olasılığını açar. Örneğin, herhangi bir kanıt (uyarılar gibi) almadan önce bir çalışan raporunu temel alan bir olay oluşturmuş ve kısa süre sonra söz konusu olayı otomatik olarak oluşturan uyarılar almış olabilirsiniz. Ancak artık içinde veri bulunmayan yinelenen bir olayınız var. Bu senaryoda, yinelenen olayınızı doğrudan portaldaki olay kuyruğundan silebilirsiniz.

Bir olayı silmek, bir olayı kapatmanın yerini tutmaz! Bir olayı silme işlemi yalnızca aşağıdaki koşullardan en az biri karşılandığında yapılmalıdır:

Olay yanlışlıkla el ile oluşturuldu.
Olay, başka bir olayı tam olarak yineler.
Hatalı olaylar bozuk bir analiz kuralı tarafından toplu olarak oluşturuldu.
Olay hiçbir veri içermiyor; uyarılar, varlıklar, yer işaretleri vb.

Diğer tüm durumlarda, bir olay artık gerekli olmadığında kapatılmalı, silinmemelidir. Bir olayı kapatmak için kapatma nedenini belirtmeniz gerekir ve bağlam ve netleştirme için ek açıklamalar eklemenize olanak tanır. Eski olayları bu şekilde kapatmak, SOC'nizin saydamlığını ve bütünlüğünü korur ve ayrıca sorun yeniden ortaya çıkarsa olayı yeniden açma olanağı sağlar.

Azure portalını kullanarak bir olayı silme

Tek bir olayı silmek için:

Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.
Olaylar sayfasında, silmek istediğiniz olayı seçin.
Olayın tüm ayrıntılar görünümünü girmek için ayrıntılar bölmesinden Tüm ayrıntıları görüntüle'yi seçin.
Üstteki düğme çubuğundan Olayı sil'i seçin.
Görüntülenen onay istemine Evet yanıtını verin.

Alternatif olarak, birden çok olayı silme yönergelerini izleyebilir (hemen altında) ve tek bir olayın onay kutusunu işaretleyebilirsiniz.

Birden çok olayı silmek için:

Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.
Olaylar sayfasında, olay kılavuzundaki her birinin yanındaki onay kutularını işaretleyerek silmek istediğiniz olayı veya olayları seçin.
Düğme çubuğunda Sil'i seçin.
Görüntülenen onay istemine Evet yanıtını verin.

Microsoft Sentinel API'sini kullanarak bir olayı silme

Olaylar işlem grubu, olayları silmenin yanı sıra oluşturma ve güncelleştirme (düzenleme), alma (alma) ve listeleme işlemleri yapmanızı sağlar.

Aşağıdaki uç noktayı kullanarak bir olayı silebilirsiniz. Bu istek yapıldıktan sonra, olay portaldaki olay kuyruğunda görünür.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notlar

Bir olayı silmek için Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
Bir olayı silmek geri alınamaz! Bir olayı sildikten sonra, buna tek başvuru Günlükler ekranındaki SecurityIncident tablosundaki denetim verileri olacaktır. (Log Analytics'te tablonun şema belgelerine bakın). Bu tablodaki Durum alanı, bu olay için "Silindi" olarak güncelleştirilir.

Dekont

SecurityIncident tablosundaki kayıt boyutunun 64 KB sınırı nedeniyle, sınır aşılırsa olay açıklamaları kesilebilir (en erkenden başlayarak).
Microsoft Sentinel'in içinden içeri aktarılan ve Microsoft Defender XDR ile eşitlenen olayları silemezsiniz.
Silinen olayla ilgili bir uyarı güncelleştirilirse veya silinen olay altında yeni bir uyarı gruplandırılırsa, silinen olayın yerini alacak yeni bir olay oluşturulur.

Sonraki adımlar

Daha fazla bilgi için bkz.

Aracılığıyla paylaş