次の方法で共有

Azure portal の Microsoft Sentinel でインシデントを削除する

  • 適用対象: Microsoft Sentinel in the Azure portal

Von Bedeutung

ポータルを使用したインシデントの削除は、現在 プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

インシデントの削除は、API を通じて一般提供されています。

Azure portal の Microsoft Sentinel でインシデントを最初から作成できると、後で作成すべきではないと判断するインシデントが作成される可能性があります。 たとえば、証拠 (アラートなど) を受け取る前に、従業員レポートに基づいてインシデントを作成し、その後すぐに問題のインシデントを自動的に生成するアラートを受け取る場合があります。 しかし、今では、データが含まれていない重複インシデントが発生しています。 このシナリオでは、Azure portal のインシデント キューから重複するインシデントを直接削除できます。

インシデントの削除は、インシデントの終了に代わるものではありません。 インシデントの削除は、次の条件の少なくとも 1 つが満たされた場合にのみ行う必要があります。

  • インシデントが誤って手動で作成されました。
  • このインシデントは、別のインシデントとまったく同じです。
  • 障害のあるインシデントは、壊れた分析ルールによって一括で生成されました。
  • インシデントには、アラート、エンティティ、ブックマークなどのデータは含まれていません。

他のすべてのケースでは、インシデントが不要になった場合は、削除するのではなく 、終了する必要があります。 インシデントを閉じるには、インシデント を閉じる理由を指定し、コンテキストと明確化のためにコメントを追加できます。 この方法で古いインシデントを閉じると、SOC の透明性と整合性が維持され、問題が再浮上した場合にインシデントを再開する可能性も考慮されます。

Azure portal を使用してインシデントを削除する

1 つのインシデントを削除するには:

  1. Microsoft Sentinel のナビゲーション メニューで、[インシデント] を選択 します

  2. [ インシデント] ページで、削除するインシデントを選択します。

  3. 詳細ウィンドウで [ 詳細の表示 ] を選択して、インシデントの完全な詳細ビューに入ります。

  4. 上部のボタンバーから [ インシデントの削除 ] を選択します。 詳細画面からインシデントを削除したスクリーンショット。

  5. 表示される確認プロンプトに 「はい 」と答えます。 1 つのインシデントの削除確認ダイアログのスクリーンショット。

または、複数のインシデントを削除する手順(すぐ下)に従って、1つのインシデントのチェックボックスをオンにすることもできます。

複数のインシデントを削除するには:

  1. Microsoft Sentinel のナビゲーション メニューで、[インシデント] を選択 します

  2. [インシデント] ページで、インシデント グリッドの各インシデントの横にあるチェック ボックスをオンにして、削除するインシデントを選択します。

  3. ボタンバーから [削除 ] を選択します。 インシデントキューから複数のインシデントを削除したスクリーンショット。

  4. 表示される確認プロンプトに 「はい 」と答えます。 複数のインシデントの削除確認ダイアログのスクリーンショット。

Microsoft Sentinel API を使用してインシデントを削除する

インシデント操作グループでは、インシデントの削除だけでなく、インシデントの作成と更新 (編集)、取得 (取得)、および一覧表示を行うことができます。

インシデントは、次のエンドポイントを使用して削除します。 この要求が行われた後、インシデントはポータルのインシデント キューに表示されます。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

注記

  • インシデントを削除するには、 Microsoft Sentinel 共同作成者 ロールが必要です。

  • インシデントの削除は元に戻せません。 インシデントを削除した後、そのインシデントへの参照は [ログ] 画面の SecurityIncident テーブルの監査データのみになります。 ( Log Analytics のテーブルのスキーマ ドキュメントを参照してください)。 そのテーブルの [ステータス ] フィールドは、そのインシデントの [削除済み] に更新されます。

    SecurityIncident テーブルのレコード サイズの 64 KB の制限により、制限を超えた場合、インシデント コメントは (最も早いものから) 切り捨てられる可能性があります。

  • Microsoft Defender XDR からインポートされ、Microsoft Defender XDR と同期されたインシデントを Microsoft Sentinel 内から削除することはできません。

  • 削除されたインシデントに関連するアラートが更新された場合、または新しいアラートが削除されたインシデントの下にグループ化された場合は、削除されたインシデントを置き換える新しいインシデントが作成されます。

次のステップ

詳細については、以下を参照してください。

  • Last updated on