Compartilhar via

Excluir incidentes no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal

Importante

A exclusão de incidentes usando o portal está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

A exclusão de incidentes está disponível para o público geral por meio da API.

A capacidade de criar incidentes do zero no Microsoft Sentinel abre a possibilidade de criar um incidente indevidamente. Por exemplo, você pode ter criado um incidente com base em um relatório do funcionário, antes de receber qualquer evidência (como alertas) e logo depois receber alertas que geram automaticamente o incidente em questão. Mas agora, você tem um incidente duplicado sem dados. Nesse cenário, você pode excluir o incidente duplicado diretamente da fila de incidentes no portal.

A exclusão de um incidente não substitui o fechamento de um incidente! A exclusão de um incidente só deve ser feita quando pelo menos uma das seguintes condições for atendida:

  • O incidente foi criado manualmente por engano.
  • O incidente duplica outro incidente de forma exata.
  • Incidentes defeituosos foram gerados em massa por uma regra de análise desfeita.
  • O incidente não contém dados – alertas, entidades, indicadores e assim por diante.

Em todos os outros casos, quando um incidente não é mais necessário, ele deve ser fechado, não excluído. Para fechar um incidente, é necessário especificar o motivo, sendo possível adicionar comentários adicionais para fins de contexto e esclarecimento. O fechamento de incidentes antigos dessa forma preserva a transparência e a integridade do SOC e também permite a possibilidade de reabrir o incidente se o problema ressurgir.

Excluir um incidente usando o portal do Azure

Para excluir um único incidente:

  1. No menu de navegação do Microsoft Azure Sentinel, selecione Incidentes.

  2. Na página Incidentes, selecione o incidente que deseja excluir.

  3. Selecione Exibir detalhes completos no painel de detalhes para inserir a exibição de detalhes completa do incidente.

  4. Selecione Excluir incidente na barra de botões na parte superior. Screenshot of deleting incident from details screen.

  5. Responda Sim no prompt de confirmação exibido. Screenshot of single incident deletion confirmation dialog.

Como alternativa, você pode seguir as instruções para excluir vários incidentes (imediatamente abaixo) e marcar a caixa de seleção de um único incidente.

Para excluir vários incidentes:

  1. No menu de navegação do Microsoft Azure Sentinel, selecione Incidentes.

  2. Na página Incidentes, selecione o incidente ou incidentes que você deseja excluir marcando as caixas de seleção ao lado de cada um na grade de incidentes.

  3. Selecione Excluir na barra de botões. Screenshot of deleting multiple incidents from incident queue.

  4. Responda Sim no prompt de confirmação exibido. Screenshot of multiple-incident-deletion confirmation dialog.

Excluir um incidente usando a API do Microsoft Sentinel

O grupo de operações Incidentes permite excluir incidentes, bem como criar e atualizar (editar), obter (recuperar)e listar os mesmos.

Você exclui um incidente usando o ponto de extremidade a seguir. Depois que essa solicitação for feita, o incidente ficará visível na fila de incidentes no portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Observações

  • Para excluir um incidente, você deve ter a função Colaborador do Microsoft Sentinel.

  • A exclusão de um incidente é irreversível! Após a exclusão de um incidente, a única referência a ele serão os dados de auditoria na tabela SecurityIncident na tela Logs. (Consulte a documentação do esquema da tabela no Log Analytics). O campo Status nessa tabela será atualizado para "Excluído" para esse incidente.

    Observação

    Devido ao limite de 64 KB do tamanho do registro na tabela SecurityIncident, os comentários sobre incidentes poderão ser truncados (começando desde o início) se o limite for excedido.

  • Não é possível excluir incidentes do Microsoft Sentinel que foram importados e sincronizados com o Microsoft Defender XDR.

  • Se um alerta relacionado a um incidente excluído for atualizado ou se um novo alerta for agrupado em um incidente excluído, um novo incidente será criado para substituir o excluído.

Próximas etapas

Para obter mais informações, consulte: