Partager via

Supprimer des incidents dans Microsoft Sentinel dans le portail Azure

  • S’applique à: Microsoft Sentinel in the Azure portal

Important

La suppression d’incidents à l’aide du portail est actuellement en préversion. Consultez les conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

La suppression d’incident est généralement disponible via l’API.

La possibilité de créer des incidents à partir de zéro dans Microsoft Sentinel dans le portail Azure ouvre la possibilité que vous créiez un incident que vous déciderez ultérieurement de ne pas avoir. Par exemple, vous avez peut-être créé un incident sur la base d’un rapport d’employé, avant d’avoir reçu des preuves (telles que des alertes), et peu de temps après, vous recevez des alertes qui génèrent automatiquement l’incident en question. Mais maintenant, vous avez un incident en double sans aucune donnée. Dans ce scénario, vous pouvez supprimer votre incident en double directement à partir de la file d’attente des incidents dans le portail Azure.

La suppression d’un incident ne remplace pas la clôture d’un incident ! La suppression d’un incident ne doit être effectuée que lorsqu’au moins l’une des conditions suivantes est remplie :

  • L’incident a été créé manuellement par erreur.
  • L’incident est exactement la réplique d’un autre incident.
  • Les incidents défectueux étaient générés en masse par une règle d’analyse non respectée.
  • L’incident ne contient aucune donnée (alertes, entités, signets, etc.).

Dans tous les autres cas, lorsqu’un incident n’est plus nécessaire, il doit être clôturé et non supprimé. La clôture d’un incident nécessite que vous spécifiiez la raison de sa clôture et vous permet d’ajouter des commentaires supplémentaires pour le contexte et la clarification. Clôturer les anciens incidents de cette manière préserve la transparence et l’intégrité de votre SOC, et permet également la possibilité de rouvrir l’incident si le problème refait surface.

Supprimer un incident à l’aide du portail Azure

Pour supprimer un seul incident :

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Incidents.

  2. Sur la page Incidents , sélectionnez l’incident que vous souhaitez supprimer.

  3. Sélectionnez Afficher tous les détails dans le volet de détails pour accéder à la vue complète des détails de l’incident.

  4. Sélectionnez Supprimer l’incident dans la barre de boutons en haut. Capture d’écran de la suppression de l’incident à partir de l’écran des détails.

  5. Répondez Oui à l’invite de confirmation qui s’affiche. Capture d’écran de la boîte de dialogue de confirmation de la suppression d’un incident unique.

Vous pouvez également suivre les instructions de suppression de plusieurs incidents (ci-dessous) et cocher la case d’un seul incident.

Pour supprimer plusieurs incidents :

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Incidents.

  2. Sur la page Incidents , sélectionnez le ou les incidents que vous souhaitez supprimer, en cochant les cases à côté de chacun d’eux dans la grille des incidents.

  3. Sélectionnez Supprimer dans la barre de boutons. Capture d’écran de la suppression de plusieurs incidents de la file d’attente des incidents.

  4. Répondez Oui à l’invite de confirmation qui s’affiche. Capture d’écran de la boîte de dialogue de confirmation de suppression d’incidents multiples.

Supprimer un incident à l’aide de l’API Microsoft Sentinel

Le groupe d’opérations Incidents vous permet de supprimer des incidents ainsi que de les créer et de les mettre à jour (modifier), d’obtenir (récupérer) et de les répertorier .

Vous supprimez un incident à l’aide du point de terminaison suivant. Une fois cette requête effectuée, l’incident et sera visible dans la liste d’attente d’incidents dans le portail.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Remarques

  • Pour supprimer un incident, vous devez disposer du rôle Microsoft Sentinel Contributor .

  • La suppression d’un incident n’est pas réversible ! Une fois que vous avez supprimé un incident, la seule référence à celui-ci sera les données d’audit dans la table SecurityIncident de l’écran Journaux. (Consultez la documentation du schéma de la table dans Log Analytics). Le champ Statut de cette table sera mis à jour sur « Supprimé » pour cet incident.

    Remarque

    En raison de la limite de 64 Ko de la taille de l’enregistrement dans la table SecurityIncident , les commentaires d’incident peuvent être tronqués (en commençant par le plus ancien) si la limite est dépassée.

  • Vous ne pouvez pas supprimer des incidents à partir de Microsoft Sentinel qui ont été importés et synchronisés avec Microsoft Defender XDR.

  • Si une alerte liée à un incident supprimé est mise à jour, ou si une nouvelle alerte est regroupée sous un incident supprimé, un nouvel incident sera créé pour remplacer celui supprimé.

Étapes suivantes

Pour plus d’informations, consultez :

  • Last updated on