删除Azure 门户Microsoft Sentinel中的事件

重要

使用门户删除事件目前以 预览版提供。 请参阅Microsoft Azure预览版的补充使用条款，了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。

事件删除通过 API 正式发布。

在Azure 门户Microsoft Sentinel从头开始创建事件的功能，可以创建以后决定不应该有的事件。 例如，在收到任何证据 (（例如) 警报）之前，你可能基于员工报告创建了一个事件，不久之后你会收到自动生成有问题的事件的警报。 但现在，你有一个重复事件，其中没有数据。 在此方案中，可以直接从Azure 门户的事件队列中删除重复事件。

删除事件不能替代关闭事件！ 仅当至少满足以下条件之一时，才应删除事件：

• 事件是错误地手动创建的。
• 该事件与另一个事件完全重复。
• 故障事件是由损坏的分析规则批量生成的。
• 事件不包含任何数据 - 警报、实体、书签等。

在所有其他情况下，当不再需要某个事件时，应 将其关闭，而不是删除。 关闭事件 需要指定关闭事件的原因，并允许你添加其他注释来说明上下文和说明。 以这种方式关闭旧事件可以保留 SOC 的透明度和完整性，并且还允许在问题再次出现时重新打开事件的可能性。

使用 Azure 门户删除事件

删除单个事件：

1. 从Microsoft Sentinel导航菜单中，选择“事件”。

2. 在“ 事件 ”页上，选择要删除的事件。

3. 在详细信息窗格中选择“ 查看完整详细信息 ”，以输入事件的完整详细信息视图。

4. 从顶部的按钮栏中选择 “删除事件 ”。

5. 对出现的确认提示回答 “是 ”。

或者，可以按照删除多个事件的说明进行操作， (紧挨) 下方，并标记单个事件的复选框。

删除多个事件：

1. 从Microsoft Sentinel导航菜单中，选择“事件”。

2. 在 “事件 ”页上，通过标记事件网格中每个事件旁边的复选框来选择要删除的事件。

3. 从按钮栏中选择“ 删除 ”。

4. 对出现的确认提示回答 “是 ”。

使用 Microsoft Sentinel API 删除事件

事件操作组允许删除事件以及创建和更新 (编辑) 、获取 (检索) 并列出它们。

使用以下终结点 删除事件 。 发出此请求后，事件将显示在门户中的事件队列中。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

注释

• 若要删除事件，必须具有“Microsoft Sentinel参与者”角色。

• 删除事件是不可逆的！ 删除事件后，对事件的唯一引用将是“日志”屏幕的 SecurityIncident 表中的审核数据。 (请参阅 Log Analytics) 中的表架构文档 。 该表中的 “状态” 字段将更新为该事件的“已删除”。

  注意

  由于 SecurityIncident 表中的记录大小限制为 64 KB，如果超出限制， (从最早) 开始截断事件注释。

• 无法从Microsoft Defender XDR中导入并同步的Microsoft Sentinel中删除事件。

• 如果更新 了与已删除事件相关的 警报，或者新警报分组在已删除事件下，则会创建一个新事件来替换已删除的事件。

后续步骤

有关更多信息，请参阅：

• 在 Microsoft Sentinel 中手动创建自己的事件
• 将警报与Microsoft Sentinel中的事件关联
• 导航、会审和管理Microsoft Sentinel事件
• 深入调查Microsoft Sentinel事件