Delen via

Incidenten verwijderen in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal

Belangrijk

Het verwijderen van incidenten met behulp van de portal is momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Het verwijderen van incidenten is algemeen beschikbaar via de API.

De mogelijkheid om helemaal nieuwe incidenten te maken in Microsoft Sentinel opent de mogelijkheid dat u een incident maakt dat u later besluit dat u dat niet zou moeten hebben. U kunt bijvoorbeeld een incident hebben gemaakt op basis van een werknemersrapport, voordat u bewijs (zoals waarschuwingen) hebt ontvangen en u snel daarna waarschuwingen ontvangt waarmee het betreffende incident automatisch wordt gegenereerd. Maar nu hebt u een dubbel incident zonder gegevens erin. In dit scenario kunt u uw dubbele incident rechtstreeks uit de incidentwachtrij in de portal verwijderen.

Het verwijderen van een incident is geen vervanging voor het sluiten van een incident. Het verwijderen van een incident mag alleen worden uitgevoerd wanneer aan ten minste een van de volgende voorwaarden wordt voldaan:

  • Het incident is per ongeluk handmatig gemaakt.
  • Het incident dupliceerde exact een ander incident.
  • Foutieve incidenten zijn bulksgewijs gegenereerd door een verbroken analyseregel.
  • Het incident bevat geen gegevens: waarschuwingen, entiteiten, bladwijzers enzovoort.

In alle andere gevallen, wanneer een incident niet meer nodig is, moet het worden gesloten, niet verwijderd. Als u een incident sluit, moet u de reden voor het sluiten opgeven en kunt u aanvullende opmerkingen toevoegen voor context en verduidelijking. Als u oude incidenten op deze manier sluit, blijft de transparantie en integriteit van uw SOC behouden en is het ook mogelijk om het incident opnieuw te openen als het probleem opnieuw optreedt.

Een incident verwijderen met behulp van Azure Portal

Eén incident verwijderen:

  1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer op de pagina Incidenten het incident dat u wilt verwijderen.

  3. Selecteer Volledige details weergeven in het detailvenster om de volledige detailweergave van het incident in te voeren.

  4. Selecteer Incident verwijderen in de knopbalk bovenaan. Screenshot of deleting incident from details screen.

  5. Antwoord Ja op de bevestigingsprompt die wordt weergegeven. Screenshot of single incident deletion confirmation dialog.

U kunt ook de instructies volgen voor het verwijderen van meerdere incidenten (direct hieronder) en het selectievakje van één incident markeren.

Meerdere incidenten verwijderen:

  1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer op de pagina Incidenten het incident of de incidenten die u wilt verwijderen door de selectievakjes naast elk incident in het incidentenraster te markeren.

  3. Selecteer Verwijderen in de knopbalk. Screenshot of deleting multiple incidents from incident queue.

  4. Antwoord Ja op de bevestigingsprompt die wordt weergegeven. Screenshot of multiple-incident-deletion confirmation dialog.

Een incident verwijderen met behulp van de Microsoft Sentinel-API

Met de bewerkingsgroep Incidenten kunt u incidenten verwijderen en bijwerken (bewerken), ophalen (ophalen) en deze weergeven.

U verwijdert een incident met behulp van het volgende eindpunt. Nadat deze aanvraag is ingediend, is het incident zichtbaar in de incidentwachtrij in de portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Opmerkingen

  • Als u een incident wilt verwijderen, moet u de rol Microsoft Sentinel-inzender hebben.

  • Het verwijderen van een incident is niet omkeerbaar! Nadat u een incident hebt verwijderd, is de enige verwijzing ernaar de controlegegevens in de tabel SecurityIncident in het scherm Logboeken. (Zie de schemadocumentatie van de tabel in Log Analytics). Het veld Status in die tabel wordt bijgewerkt naar 'Verwijderd' voor dat incident.

    Notitie

    Vanwege de limiet van 64 kB van de recordgrootte in de tabel SecurityIncident kunnen incidentopmerkingen worden afgekapt (vanaf het vroegste) als de limiet wordt overschreden.

  • U kunt incidenten niet verwijderen uit Microsoft Sentinel die zijn geïmporteerd uit en gesynchroniseerd met Microsoft Defender XDR.

  • Als een waarschuwing met betrekking tot een verwijderd incident wordt bijgewerkt of als een nieuwe waarschuwing is gegroepeerd onder een verwijderd incident, wordt er een nieuw incident gemaakt om het verwijderde incident te vervangen.

Volgende stappen

Zie voor meer informatie: