다음을 통해 공유

Azure Portal에서 Microsoft Sentinel의 인시던트 삭제

  • 적용 대상: Microsoft Sentinel in the Azure portal

중요합니다

포털을 사용한 인시던트 삭제는 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.

인시던트 삭제는 일반적으로 API를 통해 사용할 수 있습니다.

Azure Portal에서 Microsoft Sentinel을 사용하여 처음부터 인시던트를 만들 수 있는 기능을 사용하면 나중에 만들지 말아야 할 인시던트를 만들 가능성이 있습니다. 예를 들어 증거(예: 경고)를 받기 전에 지원 보고서를 기반으로 인시던트를 만든 후 곧 해당 인시던트를 자동으로 생성하는 경고를 받을 수 있습니다. 하지만 이제 데이터가 없는 중복 인시던트가 있습니다. 이 시나리오에서는 Azure Portal의 인시던트 큐에서 바로 중복 인시던트를 삭제할 수 있습니다.

인시던트를 삭제하는 것은 인시던트를 닫는 대신 사용할 수 없습니다. 인시던트 삭제는 다음 조건 중 하나 이상이 충족되는 경우에만 수행해야 합니다.

  • 이 인시던트가 실수로 수동으로 생성되었습니다.
  • 이 인시던트가 다른 인시던트에 정확히 중복됩니다.
  • 잘못된 인시던트가 손상된 분석 규칙에 의해 대량으로 생성되었습니다.
  • 인시던트에는 경고, 엔터티, 책갈피 등의 데이터가 포함되지 않습니다.

다른 모든 경우에서 인시던트가 더 이상 필요하지 않은 경우 삭제되지 않고 혀야 합니다. 인시던트를 닫 는 경우 인시던트를 닫는 이유를 지정해야 하며 컨텍스트 및 설명에 대한 추가 주석을 추가할 수 있습니다. 이러한 방식으로 이전 인시던트가 닫히는 것은 SOC의 투명성과 무결성을 유지하며 문제가 다시 발생할 경우 인시던트가 다시 열릴 가능성도 허용합니다.

Azure Portal을 사용하여 인시던트 삭제

단일 인시던트를 삭제하려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트(Incidents)를 선택합니다.

  2. 인시던트 페이지에서 삭제할 인시던트 선택

  3. 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트의 전체 세부 정보 보기를 입력합니다.

  4. 맨 위에 있는 버튼 모음에서 사건 삭제를 선택합니다. 세부 정보 화면에서 인시던트 삭제 스크린샷

  5. 표시되는 확인 프롬프트에 라고 대답합니다. 단일 인시던트 삭제 확인 대화 상자의 스크린샷

또는 여러 인시던트 삭제 지침(바로 아래)에 따라 단일 인시던트의 확인란을 표시할 수 있습니다.

여러 인시던트를 삭제하려면:

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트(Incidents)를 선택합니다.

  2. 인시던트 페이지에서 인시던트 표에서 각 인시던트 옆에 있는 확인란을 표시하여 삭제하려는 인시던트 또는 인시던트 선택

  3. 단추 모음에서 삭제 를 선택합니다. 인시던트 큐에서 여러 인시던트 삭제 스크린샷

  4. 표시되는 확인 프롬프트에 라고 대답합니다. 다중 인시던트 삭제 확인 대화 상자의 스크린샷

Microsoft Sentinel API를 사용하여 인시던트 삭제

인시던트 작업 그룹을 사용하면 인시던트 삭제뿐만 아니라 인시던트 만들기 및 업데이트(편집), 가져오기(검색)나열할 수 있습니다.

다음 엔드포인트 를 사용하여 인시던트를 삭제 합니다. 이 요청이 수행되면 포털의 인시던트 큐에 인시던트가 표시됩니다.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

비고

  • 인시던트를 삭제하려면 Microsoft Sentinel 기여자 역할이 있어야 합니다.

  • 인시던트 삭제는 되돌릴 수 없습니다! 인시던트를 삭제한 후에는 로그 화면의 SecurityIncident 테이블에 있는 감사 데이터만 참조됩니다. ( Log Analytics에서 테이블의 스키마 설명서를 참조하세요). 해당 테이블의 상태 필드는 해당 인시던트에 대해 "삭제됨"으로 업데이트됩니다.

    비고

    SecurityIncident 테이블의 레코드 크기가 64KB로 제한되므로 제한을 초과하면 인시던트 주석이 잘려(초기부터 시작)될 수 있습니다.

  • Microsoft Defender XDR에서 가져오고 동기화된 Microsoft Sentinel 내에서는 인시던트 삭제할 수 없습니다.

  • 삭제된 인시던트 관련 경고가 업데이트되거나 삭제된 인시던트 아래에 새 경고가 그룹화되면 삭제된 인시던트를 대체하기 위해 새 인시던트가 만들어집니다.

다음 단계

자세한 내용은 다음을 참조하세요.

  • Last updated on