Odstranění incidentů v Microsoft Sentinelu
Důležité
Odstranění incidentu pomocí portálu je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Odstranění incidentu je obecně dostupné prostřednictvím rozhraní API.
Možnost vytvářet incidenty od začátku v Microsoft Sentinelu otevře možnost, že vytvoříte incident, který později rozhodnete, že byste neměli mít. Můžete například vytvořit incident na základě sestavy zaměstnance, předtím, než obdržíte nějaké důkazy (například výstrahy) a brzy potom obdržíte výstrahy, které incident automaticky generují. Teď ale máte duplicitní incident bez dat. V tomto scénáři můžete duplicitní incident odstranit přímo z fronty incidentů na portálu.
Odstranění incidentu není náhradou za uzavření incidentu! Odstranění incidentu by mělo být provedeno pouze v případě splnění alespoň jedné z následujících podmínek:
- Incident se vytvořil ručně omylem.
- Incident přesně duplikuje jiný incident.
- Chybné incidenty se hromadně vygenerovaly poškozeným analytickým pravidlem.
- Incident neobsahuje žádná data – upozornění, entity, záložky atd.
Ve všech ostatních případech, kdy už incident nepotřebujete, by se měl zavřít, neodstranit. Uzavření incidentu vyžaduje, abyste zadali důvod jeho uzavření a umožnili přidat další komentáře k kontextu a objasnění. Uzavření starých incidentů tímto způsobem zachovává transparentnost a integritu vašeho SOC a také umožňuje znovu otevřít incident, pokud se problém znovu objeví.
Odstranění incidentu pomocí webu Azure Portal
Odstranění jednoho incidentu:
V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.
Na stránce Incidenty vyberte incident, který chcete odstranit.
Výběrem možnosti Zobrazit úplné podrobnosti v podokně podrobností zadejte úplné zobrazení podrobností incidentu.
Na panelu tlačítek v horní části vyberte Odstranit incident .
Odpovězte ano na výzvu k potvrzení, která se zobrazí.
Případně můžete postupovat podle pokynů k odstranění více incidentů (bezprostředně níže) a označit zaškrtávací políčko jednoho incidentu.
Odstranění více incidentů:
V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.
Na stránce Incidenty vyberte incident nebo incidenty, které chcete odstranit, tím, že označíte políčka vedle každého z nich v mřížce incidentů.
Na panelu tlačítek vyberte Odstranit .
Odpovězte ano na výzvu k potvrzení, která se zobrazí.
Odstranění incidentu pomocí rozhraní API služby Microsoft Sentinel
Skupina operací Incidents umožňuje odstraňovat incidenty a také vytvářet a aktualizovat (upravit), získat (načíst) a vypsat je.
Incident odstraníte pomocí následujícího koncového bodu. Po provedení této žádosti se incident zobrazí ve frontě incidentu na portálu.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Notes
Pokud chcete odstranit incident, musíte mít roli Přispěvatel Microsoft Sentinelu.
Odstranění incidentu není nevratné! Po odstranění incidentu bude jediným odkazem na něj data auditu v tabulce SecurityIncident na obrazovce Protokoly. (Viz dokumentace ke schématu tabulky v Log Analytics). Pole Stav v této tabulce se pro daný incident aktualizuje na Odstraněno.
Poznámka:
Vzhledem k limitu 64 kB velikosti záznamu v tabulce SecurityIncident se komentáře k incidentům můžou zkrátit (počínaje od nejstaršího) v případě překročení limitu.
Incidenty z Microsoft Sentinelu, ze které byly importovány a synchronizovány s XDR v programu Microsoft Defender, nemůžete odstranit.
Pokud se aktualizuje výstraha související s odstraněným incidentem nebo pokud se nová výstraha seskupí do odstraněného incidentu, vytvoří se nový incident, který nahradí odstraněný incident.
Další kroky
Další informace naleznete v tématu: