Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usuwanie incydentów przy użyciu portalu jest obecnie dostępne w wersji testowej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usuwanie incydentów jest ogólnie dostępne za pośrednictwem interfejsu API.
Możliwość tworzenia zdarzeń od podstaw w usłudze Microsoft Sentinel w witrynie Azure Portal otwiera możliwość utworzenia zdarzenia, którego później nie musisz mieć. Możesz na przykład utworzyć zdarzenie na podstawie raportu pracownika, zanim otrzymano jakiekolwiek dowody (takie jak alerty), a wkrótce potem otrzymasz alerty, które automatycznie generują dane zdarzenie. Teraz jednak masz zdublowane zdarzenie bez danych. W tym scenariuszu możesz usunąć zduplikowany incydent bezpośrednio z kolejki incydentów w portalu Azure.
Usunięcie zdarzenia nie jest zastępowaniem zamknięcia zdarzenia! Usunięcie zdarzenia powinno odbywać się tylko po spełnieniu co najmniej jednego z następujących warunków:
- Zdarzenie zostało utworzone ręcznie przez pomyłkę.
- Zdarzenie dokładnie duplikuje inny incydent.
- Błędne zdarzenia zostały wygenerowane zbiorczo przez uszkodzoną regułę analizy.
- Incydent nie zawiera żadnych danych – takich jak alerty, encje, zakładki itp.
We wszystkich innych przypadkach, gdy incydent nie jest już potrzebny, należy go zamknąć, a nie usunąć. Zamknięcie zdarzenia wymaga określenia przyczyny jego zamknięcia i umożliwia dodanie dodatkowych komentarzy do kontekstu i wyjaśnienia. Zamknięcie starych zdarzeń w ten sposób zachowuje przejrzystość i integralność SOC, a także pozwala na możliwość ponownego otwarcia zdarzenia, jeśli problem zostanie ponownie wyświetlony.
Usuwanie zdarzenia przy użyciu witryny Azure Portal
Aby usunąć pojedyncze zdarzenie:
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.
Na stronie Incydenty wybierz zdarzenie, które chcesz usunąć.
Wybierz pozycję Wyświetl pełne szczegóły w okienku szczegółów, aby wprowadzić pełny widok szczegółów zdarzenia.
Wybierz pozycję Usuń zdarzenie na pasku przycisków u góry.
Odpowiedz tak do wyświetlonego monitu o potwierdzenie.
Alternatywnie możesz postępować zgodnie z instrukcjami dotyczącymi usuwania wielu zdarzeń (bezpośrednio poniżej) i zaznaczyć pole wyboru pojedynczego zdarzenia.
Aby usunąć wiele incydentów:
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.
Na stronie Incydenty wybierz incydent lub zdarzenia, które chcesz usunąć, zaznaczając pola wyboru obok każdego z nich w siatce zdarzeń.
Wybierz pozycję Usuń na pasku przycisków.
Odpowiedz tak do wyświetlonego monitu o potwierdzenie.
Usuwanie zdarzenia przy użyciu interfejsu API usługi Microsoft Sentinel
Grupa operacji Incydenty umożliwia usuwanie zdarzeń, a także tworzenie i aktualizowanie (edytowanie),pobieranie (pobieranie) i wyświetlanie ich listy .
Zdarzenie można usunąć przy użyciu następującego punktu końcowego. Po wykonaniu tego żądania zdarzenie będzie widoczne w kolejce zdarzeń w portalu.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Notatki
Aby usunąć zdarzenie, musisz mieć rolę współautora usługi Microsoft Sentinel .
Usuwanie zdarzenia nie jest odwracalne! Po usunięciu zdarzenia jedynym odwołaniem do niego będą dane inspekcji w tabeli SecurityIncident na ekranie Dzienniki. (Zapoznaj się z dokumentacją schematu tabeli w usłudze Log Analytics). Pole Stan w tej tabeli zostanie zaktualizowane do "Usunięte" dla tego incydentu.
Uwaga
Ze względu na limit 64 KB rozmiaru rekordu w tabeli SecurityIncident komentarze zdarzeń mogą być obcięte (począwszy od najwcześniejszego) w przypadku przekroczenia limitu.
Nie można usuwać zdarzeń z usługi Microsoft Sentinel, które zostały zaimportowane z usługi Microsoft Defender I zsynchronizowane z usługą Microsoft Defender XDR.
Jeśli alert związany z usuniętym zdarzeniem zostanie zaktualizowany lub nowy alert zostanie zgrupowany w ramach usuniętego zdarzenia, zostanie utworzone nowe zdarzenie, aby zastąpić usunięty.
Następne kroki
Aby uzyskać więcej informacji, zobacz: