這很重要
使用入口網站的事件的刪除功能目前為 預覽版本。 有關適用於 Beta、預覽版或尚未普遍發佈的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定。
事件刪除已透過 API 正式推出。
在 Azure 入口網站中從頭開始建立事件Microsoft Sentinel 的功能會開啟您稍後決定不應該發生的事件的可能性。 例如,您可能會根據員工報告建立一個事件,而未收到任何證據(如警示),而不久之後,您可能會收到一些警示,這些警示會自動生成所述事件。 現在,您有一個重複的案件,其中沒有資料。 在此案例中,您可以從 Azure 入口網站中的事件佇列中刪除重複的事件。
刪除事件不是關閉事件的替代方案! 只有在至少符合下列其中一個條件時,才應該刪除事件:
- 事件是錯誤地手動建立的。
- 事件完全重複另一個事件。
- 錯誤事件是由故障的分析規則大量生成。
- 此事件不包含任何數據 - 警示、實體、書籤等等。
在所有其他情況下,當不再需要事件時,應該 關閉它,而不是刪除。 關閉事件需要您指定關閉的原因,並允許您新增附註以提供背景和說明。 以這種方式關閉舊事件會保留SOC的透明度和完整性,而且如果問題重新浮出水面,也允許重新開啟事件的可能性。
使用 Azure 入口網站刪除事件
若要刪除單一事件:
從 [Microsoft Sentinel] 導覽功能表中,選取 [事件]。
在 [ 事件] 頁面上,選取您想要刪除的事件。
選取 [詳細數據] 窗格中的 [ 檢視完整詳細 數據],以輸入事件的完整詳細數據檢視。
從頂端的按鈕列中選取 [刪除事件 ]。
對出現的確認提示回答 [是 ]。
或者,您可以遵循刪除多個事件的指示(緊接在下方),並標示單一事件的複選框。
若要刪除多個事件:
從 [Microsoft Sentinel] 導覽功能表中,選取 [事件]。
在 [ 事件] 頁面上,選取您想要刪除的事件或事件,方法是在事件方格中標記每個事件旁邊的複選框。
從按鈕列中選取 [刪除 ]。
對出現的確認提示回答 [是 ]。
使用 Microsoft Sentinel API 刪除事件
事件作業群組可讓您刪除事件,以及建立和更新(編輯)、取得(擷取)並列出事件。
您可以使用下列端點 刪除事件 。 在提出此要求之後,事件會顯示在入口網站的事件佇列中。
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
註釋
若要刪除事件,您必須具有 Microsoft Sentinel 參與者 角色。
刪除事件後無法恢復! 刪除事件之後,唯一的參考會是 [記錄] 畫面中 SecurityIncident 數據表中的稽核數據。 (請參閱 Log Analytics 中的數據表架構檔)。 該資料表中的 [狀態 ] 字段將會更新為該事件的 [已刪除]。
備註
由於 SecurityIncident 資料表中記錄大小的 64 KB 限制,如果超過限制,事件註釋可能會被截斷(從最早的註釋開始)。
您無法刪除在 Microsoft Sentinel 中 從 Microsoft Defender XDR 匯入並同步的事件。
如果與已刪除事件相關的警示進行了更新,或者有新的警示被歸類到已刪除的事件中,將會建立一個新的事件來取代該已刪除的事件。
後續步驟
如需詳細資訊,請參閱: