刪除 Microsoft Sentinel 中的事件
重要
使用入口網站的事件刪除目前處於預覽狀態 。 如需適用于 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽 版補充使用條款。
事件刪除已透過 API 正式推出。
在 Microsoft Sentinel 中從頭開始建立事件的能力會開啟您稍後決定不應該發生的事件的可能性。 例如,您可能已根據員工報告建立事件,然後才收到任何證據(例如警示),之後您就會收到自動產生有問題的警示。 但現在,您有重複的事件,其中沒有資料。 在此案例中,您可以從入口網站中的事件佇列刪除重複的事件。
刪除事件不是關閉事件的替代專案! 只有在至少符合下列其中一個條件時,才應該刪除事件:
- 事件是錯誤地手動建立的。
- 事件完全重複另一個事件。
- 錯誤事件是由中斷的分析規則大量產生。
- 此事件不包含任何資料 - 警示、實體、書簽等等。
在所有其他情況下,當不再需要事件時,應該 關閉 它,而不是刪除。 關閉事件需要您指定關閉事件 的原因,並可讓您新增內容和厘清的其他批註。 以這種方式關閉舊事件會保留 SOC 的透明度和完整性,而且如果問題重新浮出水面,也允許重新開啟事件的可能性。
使用Azure 入口網站刪除事件
若要刪除單一事件:
從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件 ]。
在 [ 事件] 頁面上,選取您想要刪除的事件。
選取 [詳細資料] 窗格中的 [檢視完整詳細 資料],以輸入事件的完整詳細資料檢視。
從頂端的按鈕列中選取 [ 刪除事件 ]。
對出現的確認提示回答 [是 ]。
或者,您可以遵循刪除多個事件的指示(緊接在下方),並標示單一事件的核取方塊。
若要刪除多個事件:
從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件 ]。
在 [ 事件] 頁面上,選取您想要刪除的事件或事件,方法是在事件方格中標記每個事件旁邊的核取方塊。
從按鈕欄中選取 [ 刪除 ]。
對出現的確認提示回答 [是 ]。
使用 Microsoft Sentinel API 刪除事件
事件 作業群組可讓您刪除事件,以及 建立和更新(編輯) 、 取得(擷取) 並 列出 事件。
您可以使用 下列端點刪除事件 。 提出此要求之後,事件就會顯示在入口網站的事件佇列中。
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
備註
若要刪除事件,您必須具有 Microsoft Sentinel 參與者 角色。
刪除事件無法復原! 刪除事件之後,唯一的參考會是 [記錄] 畫面中 SecurityIncident 資料表中的稽核資料 。 (請參閱 Log Analytics 中的資料表架構檔)。 該資料表中的 [ 狀態 ] 欄位將會更新為該事件的 [已刪除]。
注意
由於 SecurityIncident 資料表中 記錄大小的 64 KB 限制,如果超過限制,可能會截斷事件批註(從最早開始)。
您無法從從 Microsoft Sentinel 內刪除從 匯入並與Microsoft Defender 全面偵測回應 同步的事件。
如果與已刪除事件 相關的警示 更新,或新的警示群組在已刪除的事件下,將會建立新的事件來取代已刪除的事件。
下一步
如需詳細資訊,請參閱