Compartir a través de

Eliminación de incidentes en Microsoft Sentinel en Azure Portal

  • Se aplica a: Microsoft Sentinel in the Azure portal

Importante

La eliminación de incidentes mediante el portal se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o, de lo contrario, aún no se han publicado en disponibilidad general.

La eliminación de incidentes está disponible con carácter general a través de la API.

La capacidad de crear incidentes desde cero en Microsoft Sentinel en Azure Portal abre la posibilidad de crear un incidente que más adelante decida que no debería tener. Por ejemplo, puede haber creado un incidente basado en un informe de empleado, antes de haber recibido cualquier evidencia (como alertas) y poco después recibirá alertas que generen automáticamente el incidente en cuestión. Ahora tiene un incidente duplicado sin datos en él. En este escenario, puede eliminar su incidente duplicado directamente desde la cola de incidentes en el portal de Azure.

Borrar un incidente no sustituye a cerrar un incidente. La eliminación de un incidente solo debe realizarse cuando se cumple al menos una de las condiciones siguientes:

  • El incidente se creó manualmente por error.
  • El incidente duplica exactamente otro incidente.
  • Los incidentes defectuosos se generaron en gran cantidad mediante una regla de análisis rota.
  • El incidente no contiene datos: alertas, entidades, marcadores, etc.

En todos los demás casos, cuando ya no se necesita un incidente, debe cerrarse, no eliminarse. El cierre de un incidente requiere que especifique el motivo para cerrarlo y le permite agregar comentarios adicionales para el contexto y la aclaración. Cerrar incidentes antiguos de esta manera conserva la transparencia e integridad de su SOC, y también permite la posibilidad de volver a abrir el incidente si el problema vuelve a aparecer.

Eliminación de un incidente mediante Azure Portal

Para eliminar un único incidente:

  1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

  2. En la página Incidentes , seleccione el incidente que desea eliminar.

  3. Seleccione Ver detalles completos en el panel de detalles para escribir la vista de detalles completa del incidente.

  4. Seleccione Eliminar incidente en la barra de botones de la parte superior. Recorte de pantalla de eliminación del incidente de la pantalla de detalles.

  5. Responda al mensaje de confirmación que aparece. Captura de pantalla del cuadro de diálogo de confirmación de eliminación de un solo incidente.

Como alternativa, puede seguir las instrucciones para eliminar varios incidentes (inmediatamente debajo) y marcar la casilla de un solo incidente.

Para eliminar varios incidentes:

  1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

  2. En la página Incidentes , seleccione el incidente o los incidentes que desea eliminar marcando las casillas situadas junto a cada uno de los incidentes de la cuadrícula de incidentes.

  3. Seleccione Eliminar en la barra de botones. Captura de pantalla de la eliminación de varios incidentes de la cola de incidentes.

  4. Responda al mensaje de confirmación que aparece. Recorte de pantalla del cuadro de diálogo de confirmación de eliminación de varios incidentes.

Eliminación de un incidente mediante la API de Microsoft Sentinel

El grupo de operaciones Incidentes permite eliminar incidentes , así como crear y actualizar (editar),obtener (recuperar) y enumerarlos .

Puede eliminar un incidente mediante el siguiente punto de conexión. Una vez hecha esta solicitud, el incidente estará visible en la cola de incidentes en el portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notas

  • Para eliminar un incidente, debe tener el rol Colaborador de Microsoft Sentinel .

  • La eliminación de un incidente no es reversible. Después de eliminar un incidente, la única referencia a ella será los datos de auditoría de la tabla SecurityIncident en la pantalla Registros. (Consulte la documentación del esquema de la tabla en Log Analytics). El campo Estado de esa tabla se actualizará a "Eliminado" para ese incidente.

    Nota:

    Debido al límite de 64 KB del tamaño de registro en la tabla SecurityIncident, los comentarios de incidentes pueden truncarse empezando por los más antiguos si se supera el límite.

  • No se pueden eliminar incidentes desde dentro de Microsoft Sentinel que fueron importados de y sincronizados con XDR de Microsoft Defender.

  • Si se actualiza una alerta relacionada con un incidente eliminado o si se agrupa una nueva alerta en un incidente eliminado, se creará un nuevo incidente para reemplazar el eliminado.

Pasos siguientes

Para obtener más información, consulte:

  • Last updated on