다음을 통해 공유

Microsoft Sentinel에서 인시던트 삭제

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal

Important

포털을 사용한 인시던트 삭제는 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

인시던트 삭제는 일반적으로 API를 통해 사용할 수 있습니다.

Microsoft Sentinel에서 처음부터 인시던트를 만들 수 있는 기능은 나중에 인시던트가 없어야 한다고 판단하는 인시던트를 만들 수 있습니다. 예를 들어 증거(예: 경고)를 받기 전에 지원 보고서를 기반으로 인시던트를 만든 후 곧 해당 인시던트를 자동으로 생성하는 경고를 받을 수 있습니다. 하지만 이제 데이터가 없는 중복 인시던트가 있습니다. 이 시나리오에서는 포털의 인시던트 큐에서 바로 중복 인시던트를 삭제할 수 있습니다.

인시던트를 삭제하는 것은 인시던트를 닫는 대신 사용할 수 없습니다. 인시던트 삭제는 다음 조건 중 하나 이상이 충족되는 경우에만 수행해야 합니다.

  • 이 인시던트가 실수로 수동으로 생성되었습니다.
  • 이 인시던트가 다른 인시던트에 정확히 중복됩니다.
  • 잘못된 인시던트가 손상된 분석 규칙에 의해 대량으로 생성되었습니다.
  • 인시던트에는 경고, 엔터티, 책갈피 등의 데이터가 포함되지 않습니다.

다른 모든 경우에 인시던트가 더 이상 필요하지 않으면 삭제가 아니라 닫아야 합니다. 인시던트를 닫으려면 인시던트를 닫는 이유를 지정해야 하며 컨텍스트 및 설명에 대한 추가 주석을 추가할 수 있습니다. 이러한 방식으로 이전 인시던트가 닫히는 것은 SOC의 투명성과 무결성을 유지하며 문제가 다시 발생할 경우 인시던트가 다시 열릴 가능성도 허용합니다.

Azure Portal을 사용하여 인시던트 삭제

단일 인시던트를 삭제하려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

  2. 인시던트 페이지에서 삭제할 인시던트를 선택합니다.

  3. 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트의 전체 세부 정보 보기를 입력합니다.

  4. 맨 위에 있는 단추 모음에서 인시던트 삭제를 선택합니다. Screenshot of deleting incident from details screen.

  5. 표시되는 확인 프롬프트에 라고 대답합니다. Screenshot of single incident deletion confirmation dialog.

또는 여러 인시던트 삭제 지침(바로 아래)에 따라 단일 인시던트의 확인란을 표시할 수 있습니다.

여러 인시던트를 삭제하려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

  2. 인시던트 페이지에서 인시던트 그리드의 각 항목 옆에 있는 확인란을 표시하여 인시던트 또는 삭제할 인시던트를 선택합니다.

  3. 단추 모음에서 삭제를 선택합니다. Screenshot of deleting multiple incidents from incident queue.

  4. 표시되는 확인 프롬프트에 라고 대답합니다. Screenshot of multiple-incident-deletion confirmation dialog.

Microsoft Sentinel API를 사용하여 인시던트 삭제

인시던트 작업 그룹을 사용하면 인시던트 삭제뿐만 아니라 인시던트 만들기 및 업데이트(편집), 가져오기(검색)나열할 수 있습니다.

다음 엔드포인트를 사용하여 인시던트를 삭제합니다. 이 요청이 수행되면 포털의 인시던트 큐에 인시던트가 표시됩니다.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

주의

  • 인시던트를 삭제하려면 Microsoft Sentinel 기여자 역할이 있어야 합니다.

  • 인시던트 삭제는 되돌릴 수 없습니다! 인시던트를 삭제한 후에는 로그 화면의 SecurityIncident 테이블에 있는 감사 데이터만 참조됩니다. (Log Analytics에서 테이블의 스키마 설명서를 참조하세요). 해당 테이블의 상태 필드는 해당 인시던트에 대해 "삭제됨"으로 업데이트됩니다.

    참고 항목

    SecurityIncident 테이블에 있는 레코드 크기의 64KB 제한으로 인해 제한이 초과되면 인시던트 주석이 잘릴 수 있습니다(가장 빠른 시점부터)

  • Microsoft Defender XDR를 사용하여 가져오고 동기화한 Microsoft Sentinel 내에서 인시던트 삭제할 수 없습니다.

  • 삭제된 인시던트와 관련된 경고가 업데이트되거나 삭제된 인시던트 아래에 새 경고가 그룹화된 경우 삭제된 인시던트를 대체할 새 인시던트가 만들어집니다.

다음 단계

자세한 내용은 다음을 참조하세요.