Eliminare eventi imprevisti in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal

Importante

L'eliminazione di eventi imprevisti con il portale è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

L'eliminazione degli eventi imprevisti è disponibile a livello generale tramite l'API.

La possibilità di creare eventi imprevisti da zero in Microsoft Sentinel apre la possibilità di creare un evento imprevisto che in un secondo momento si decide di non dover avere. Ad esempio, è possibile che sia stato creato un evento imprevisto in base a un report del dipendente, prima di aver ricevuto alcuna prova (ad esempio gli avvisi) e subito dopo si ricevono avvisi che generano automaticamente l'evento imprevisto in questione. Ma ora si verifica un evento imprevisto duplicato senza dati. In questo scenario è possibile eliminare l'evento imprevisto duplicato direttamente dalla coda degli eventi imprevisti nel portale.

L'eliminazione di un evento imprevisto non sostituisce la chiusura di un evento imprevisto. L'eliminazione di un evento imprevisto deve essere eseguita solo quando viene soddisfatta almeno una delle condizioni seguenti:

• L'evento imprevisto è stato creato manualmente per errore.
• L'evento imprevisto duplica esattamente un altro evento imprevisto.
• Gli eventi imprevisti difettosi sono stati generati in blocco da una regola di analisi interrotta.
• L'evento imprevisto non contiene dati: avvisi, entità, segnalibri e così via.

In tutti gli altri casi, quando un evento imprevisto non è più necessario, deve essere chiuso, non eliminato. La chiusura di un evento imprevisto richiede di specificare il motivo della chiusura e consente di aggiungere commenti aggiuntivi per contesto e chiarimento. La chiusura di eventi imprevisti precedenti in questo modo mantiene la trasparenza e l'integrità del SOC e consente anche la possibilità di riaprire l'evento imprevisto se il problema persiste.

Eliminare un evento imprevisto usando il portale di Azure

Per eliminare un singolo evento imprevisto:

1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

2. Nella pagina Eventi imprevisti selezionare l'evento imprevisto da eliminare.

3. Selezionare Visualizza dettagli completi nel riquadro dei dettagli per immettere la visualizzazione dei dettagli completi dell'evento imprevisto.

4. Selezionare Elimina evento imprevisto dalla barra dei pulsanti nella parte superiore.

5. Rispondere Sì alla richiesta di conferma visualizzata.

In alternativa, è possibile seguire le istruzioni per eliminare più eventi imprevisti (immediatamente sotto) e contrassegnare la casella di controllo di un singolo evento imprevisto.

Per eliminare più eventi imprevisti:

1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

2. Nella pagina Eventi imprevisti selezionare l'evento imprevisto o gli eventi imprevisti da eliminare contrassegnando le caselle di controllo accanto a ognuna nella griglia degli eventi imprevisti.

3. Selezionare Elimina dalla barra dei pulsanti.

4. Rispondere Sì alla richiesta di conferma visualizzata.

Eliminare un evento imprevisto usando l'API di Microsoft Sentinel

Il gruppo di operazioni Eventi imprevisti consente di eliminare gli eventi imprevisti, nonché di creare e aggiornare (modificare), ottenere (recuperare) ed elencarli.

Si elimina un evento imprevisto usando l'endpoint seguente. Dopo aver effettuato questa richiesta, l'evento imprevisto sarà visibile nella coda degli eventi imprevisti nel portale.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Note

• Per eliminare un evento imprevisto, è necessario avere il ruolo collaboratore di Microsoft Sentinel.

• L'eliminazione di un evento imprevisto non è reversibile. Dopo aver eliminato un evento imprevisto, l'unico riferimento sarà i dati di controllo nella tabella SecurityIncident nella schermata Log. Vedere la documentazione relativa allo schema della tabella in Log Analytics. Il campo Stato in tale tabella verrà aggiornato a "Eliminato" per l'evento imprevisto.

  Nota

  A causa del limite di 64 KB delle dimensioni del record nella tabella SecurityIncident , i commenti degli eventi imprevisti possono essere troncati (a partire dal primo) se il limite viene superato.

• Non è possibile eliminare eventi imprevisti dall'interno di Microsoft Sentinel importati e sincronizzati con Microsoft Defender XDR.

• Se un avviso correlato a un evento imprevisto eliminato viene aggiornato o se un nuovo avviso viene raggruppato in un evento imprevisto eliminato, verrà creato un nuovo evento imprevisto per sostituire quello eliminato.

Passaggi successivi

Per altre informazioni, vedere:

• Creare manualmente eventi imprevisti in Microsoft Sentinel
• Correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel
• Analizzare gli eventi imprevisti con Microsoft Azure Sentinel
• Creare regole di analisi personalizzate per rilevare le minacce