Partilhar via

Excluir incidentes no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal

Importante

A exclusão de incidentes usando o portal está atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

A exclusão de incidentes está geralmente disponível por meio da API.

A capacidade de criar incidentes do zero no Microsoft Sentinel abre a possibilidade de você criar um incidente que mais tarde você decide que não deveria ter. Por exemplo, você pode ter criado um incidente com base em um relatório de funcionário, antes de ter recebido qualquer evidência (como alertas), e logo depois receber alertas que geram automaticamente o incidente em questão. Mas agora, você tem um incidente duplicado sem dados. Nesse cenário, você pode excluir seu incidente duplicado diretamente da fila de incidentes no portal.

Eliminar um incidente não substitui o encerramento de um incidente! A exclusão de um incidente só deve ser feita quando pelo menos uma das seguintes condições for atendida:

  • O incidente foi criado manualmente por engano.
  • O incidente duplica exatamente outro incidente.
  • Incidentes defeituosos foram gerados em massa por uma regra de análise quebrada.
  • O incidente não contém dados - alertas, entidades, marcadores e assim por diante.

Em todos os outros casos, quando um incidente não é mais necessário, ele deve ser fechado e não excluído. Fechar um incidente requer que você especifique o motivo para fechá-lo e permite que você adicione comentários adicionais para contexto e esclarecimento. Fechar incidentes antigos desta forma preserva a transparência e integridade do seu SOC, e também permite a possibilidade de reabrir o incidente se o problema ressurgir.

Excluir um incidente usando o portal do Azure

Para excluir um único incidente:

  1. No menu de navegação do Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes, selecione o incidente que deseja excluir.

  3. Selecione Ver detalhes completos no painel de detalhes para introduzir a vista de detalhes completos do incidente.

  4. Selecione Excluir incidente na barra de botões na parte superior. Screenshot of deleting incident from details screen.

  5. Responda Sim ao prompt de confirmação exibido. Screenshot of single incident deletion confirmation dialog.

Como alternativa, você pode seguir as instruções para excluir vários incidentes (imediatamente abaixo) e marcar a caixa de seleção de um único incidente.

Para excluir vários incidentes:

  1. No menu de navegação do Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes, selecione o incidente ou incidentes que deseja excluir, marcando as caixas de seleção ao lado de cada um na grade de incidentes.

  3. Selecione Excluir na barra de botões. Screenshot of deleting multiple incidents from incident queue.

  4. Responda Sim ao prompt de confirmação exibido. Screenshot of multiple-incident-deletion confirmation dialog.

Excluir um incidente usando a API do Microsoft Sentinel

O grupo de operação Incidentes permite excluir incidentes, bem como criar e atualizar (editar), obter (recuperar) e listá-los.

Você exclui um incidente usando o seguinte ponto de extremidade. Depois que essa solicitação for feita, o incidente ficará visível na fila de incidentes no portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notas

  • Para excluir um incidente, você deve ter a função de Colaborador do Microsoft Sentinel.

  • Excluir um incidente não é reversível! Depois de excluir um incidente, a única referência a ele serão os dados de auditoria na tabela SecurityIncident na tela Logs. (Consulte a documentação do esquema da tabela no Log Analytics). O campo Status nessa tabela será atualizado para "Excluído" para esse incidente.

    Nota

    Devido ao limite de 64 KB do tamanho do registro na tabela SecurityIncident, os comentários de incidentes podem ser truncados (começando pelo mais cedo) se o limite for excedido.

  • Não é possível excluir incidentes do Microsoft Sentinel que foram importados e sincronizados com o Microsoft Defender XDR.

  • Se um alerta relacionado a um incidente excluído for atualizado, ou se um novo alerta for agrupado em um incidente excluído, um novo incidente será criado para substituir o excluído.

Próximos passos

Para obter mais informações, consulte: