Udostępnij za pośrednictwem

Usuwanie zdarzeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal

Ważne

Usuwanie zdarzeń przy użyciu portalu jest obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usuwanie zdarzeń jest ogólnie dostępne za pośrednictwem interfejsu API.

Możliwość tworzenia zdarzeń od podstaw w usłudze Microsoft Sentinel otwiera możliwość utworzenia zdarzenia, którego później zdecydujesz, że nie powinieneś mieć. Możesz na przykład utworzyć zdarzenie na podstawie raportu pracownika, zanim otrzymano jakiekolwiek dowody (takie jak alerty), a wkrótce potem otrzymasz alerty, które automatycznie generują dane zdarzenie. Ale teraz masz zduplikowane zdarzenie bez danych. W tym scenariuszu można usunąć zduplikowane zdarzenie bezpośrednio z kolejki zdarzeń w portalu.

Usunięcie zdarzenia nie jest zastępowaniem zamknięcia zdarzenia! Usunięcie zdarzenia powinno odbywać się tylko po spełnieniu co najmniej jednego z następujących warunków:

  • Zdarzenie zostało utworzone ręcznie przez pomyłkę.
  • Zdarzenie dokładnie duplikuje inny incydent.
  • Błędne zdarzenia zostały wygenerowane zbiorczo przez uszkodzoną regułę analizy.
  • Zdarzenie nie zawiera danych — alertów, jednostek, zakładek itd.

We wszystkich innych przypadkach, gdy incydent nie jest już potrzebny, należy go zamknąć, a nie usunąć. Zamknięcie zdarzenia wymaga określenia przyczyny jego zamknięcia i umożliwia dodanie dodatkowych komentarzy do kontekstu i wyjaśnienia. Zamknięcie starych zdarzeń w ten sposób zachowuje przejrzystość i integralność SOC, a także pozwala na możliwość ponownego otwarcia zdarzenia, jeśli problem zostanie ponownie wyświetlony.

Usuwanie zdarzenia przy użyciu witryny Azure Portal

Aby usunąć pojedyncze zdarzenie:

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

  2. Na stronie Incydenty wybierz zdarzenie, które chcesz usunąć.

  3. Wybierz pozycję Wyświetl pełne szczegóły w okienku szczegółów, aby wprowadzić pełny widok szczegółów zdarzenia.

  4. Wybierz pozycję Usuń zdarzenie na pasku przycisków u góry. Screenshot of deleting incident from details screen.

  5. Odpowiedz tak do wyświetlonego monitu o potwierdzenie. Screenshot of single incident deletion confirmation dialog.

Alternatywnie możesz postępować zgodnie z instrukcjami dotyczącymi usuwania wielu zdarzeń (bezpośrednio poniżej) i zaznaczyć pole wyboru pojedynczego zdarzenia.

Aby usunąć wiele zdarzeń:

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

  2. Na stronie Incydenty wybierz incydent lub zdarzenia, które chcesz usunąć, zaznaczając pola wyboru obok każdego z nich w siatce zdarzeń.

  3. Wybierz pozycję Usuń na pasku przycisków. Screenshot of deleting multiple incidents from incident queue.

  4. Odpowiedz tak do wyświetlonego monitu o potwierdzenie. Screenshot of multiple-incident-deletion confirmation dialog.

Usuwanie zdarzenia przy użyciu interfejsu API usługi Microsoft Sentinel

Grupa operacji Incydenty umożliwia usuwanie zdarzeń, a także tworzenie i aktualizowanie (edytowanie), pobieranie (pobieranie) i wyświetlanie ich listy.

Zdarzenie można usunąć przy użyciu następującego punktu końcowego. Po wykonaniu tego żądania zdarzenie będzie widoczne w kolejce zdarzeń w portalu.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Uwagi

  • Aby usunąć zdarzenie, musisz mieć rolę współautora usługi Microsoft Sentinel.

  • Usuwanie zdarzenia nie jest odwracalne! Po usunięciu zdarzenia jedynym odwołaniem do niego będą dane inspekcji w tabeli SecurityIncident na ekranie Dzienniki. (Zapoznaj się z dokumentacją schematu tabeli w usłudze Log Analytics). Pole Stan w tej tabeli zostanie zaktualizowane do "Usunięte" dla tego zdarzenia.

    Uwaga

    Ze względu na limit 64 KB rozmiaru rekordu w tabeli SecurityIncident komentarze zdarzeń mogą być obcięte (począwszy od najwcześniejszego) w przypadku przekroczenia limitu.

  • Nie można usuwać zdarzeń z usługi Microsoft Sentinel, które zostały zaimportowane z usługi Microsoft Defender I zsynchronizowane z usługą Microsoft Defender XDR.

  • Jeśli alert związany z usuniętym zdarzeniem zostanie zaktualizowany lub nowy alert zostanie zgrupowany w ramach usuniętego zdarzenia, zostanie utworzone nowe zdarzenie, aby zastąpić usunięty.

Następne kroki

Aby uzyskać więcej informacji, zobacz: