Compartilhar via

Excluir incidentes no Microsoft Sentinel no portal do Azure

  • Aplica-se a: Microsoft Sentinel in the Azure portal

Importante

A exclusão de incidentes usando o portal está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

A exclusão de incidentes geralmente está disponível por meio da API.

A capacidade de criar incidentes do zero no Microsoft Sentinel no portal do Azure abre a possibilidade de criar um incidente que você decidirá mais tarde que não deveria. Por exemplo, você pode ter criado um incidente com base em um relatório de funcionário, antes de receber qualquer evidência (como alertas) e logo depois receber alertas que geram automaticamente o incidente em questão. Mas agora, você tem um incidente duplicado sem dados. Nesse cenário, você pode excluir o incidente duplicado diretamente da fila de incidentes no portal do Azure.

Excluir um incidente não substitui o encerramento de um incidente! A exclusão de um incidente só deve ser feita quando pelo menos uma das seguintes condições for atendida:

  • O incidente foi criado manualmente por engano.
  • O incidente duplica exatamente outro incidente.
  • Incidentes defeituosos foram gerados em massa por uma regra de análise quebrada.
  • O incidente não contém dados – alertas, entidades, indicadores e assim por diante.

Em todos os outros casos, quando um incidente não é mais necessário, ele deve ser fechado, não excluído. Fechar um incidente exige que você especifique o motivo para fechá-lo e permite adicionar comentários adicionais para contexto e esclarecimento. O fechamento de incidentes antigos dessa forma preserva a transparência e a integridade de seu SOC e também permite a possibilidade de reabrir o incidente se o problema ressurgir.

Excluir um incidente usando o portal do Azure

Para excluir um único incidente:

  1. No menu de navegação do Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes , selecione o incidente que você deseja excluir.

  3. Selecione Exibir detalhes completos no painel de detalhes para inserir a exibição completa de detalhes do incidente.

  4. Selecione Excluir incidente na barra de botões na parte superior. Captura de tela da exclusão do incidente na página de detalhes.

  5. Responda Sim ao prompt de confirmação que aparece. Captura de tela da caixa de diálogo de confirmação de exclusão de incidente único.

Como alternativa, você pode seguir as instruções para excluir vários incidentes (imediatamente abaixo) e marcar a caixa de seleção de um único incidente.

Para excluir vários incidentes:

  1. No menu de navegação do Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes , selecione o incidente ou os incidentes que você deseja excluir marcando as caixas de seleção ao lado de cada uma na grade de incidentes.

  3. Selecione Excluir na barra de botões. Captura de tela da exclusão de vários incidentes da fila de incidentes.

  4. Responda Sim ao prompt de confirmação que aparece. Captura de tela do diálogo de confirmação de exclusão de vários incidentes.

Excluir um incidente usando a API do Microsoft Sentinel

O grupo de operações Incidentes permite que você exclua incidentes, bem como crie e atualize (editar), obtenha (recupere)e liste-os .

Você exclui um incidente usando o ponto de extremidade a seguir. Depois que essa solicitação for feita, o incidente ficará visível na fila de incidentes no portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Anotações

  • Para excluir um incidente, você deve ter a função colaborador do Microsoft Sentinel .

  • Excluir um incidente não é reversível! Depois de excluir um incidente, a única referência a ele serão os dados de auditoria na tabela SecurityIncident na tela Logs. (Consulte a documentação do esquema da tabela no Log Analytics). O campo Status nessa tabela será atualizado para "Excluído" para esse incidente.

    Observação

    Devido ao limite de 64 KB do tamanho do registro na tabela SecurityIncident , os comentários sobre incidentes poderão ser truncados (a partir do mais antigo) se o limite for excedido.

  • Você não pode excluir incidentes de dentro do Microsoft Sentinel que foram importados e sincronizados com o Microsoft Defender XDR.

  • Se um alerta relacionado a um incidente excluído for atualizado ou se um novo alerta for agrupado em um incidente excluído, um novo incidente será criado para substituir o excluído.

Próximas etapas

Para obter mais informações, consulte:

  • Last updated on