Slet hændelser i Microsoft Sentinel i Azure Portal

  • Gælder for: Microsoft Sentinel in the Azure portal

Vigtigt!

Sletning af hændelser ved hjælp af portalen findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Sletning af hændelser er generelt tilgængelig via API'en.

Muligheden for at oprette hændelser fra bunden i Microsoft Sentinel i Azure Portal åbner muligheden for, at du opretter en hændelse, som du senere beslutter, at du ikke skal have. Du kan f.eks. have oprettet en hændelse baseret på en medarbejderrapport, før du har modtaget beviser (f.eks. beskeder), og snart efter modtager du beskeder, der automatisk genererer den pågældende hændelse. Men nu har du en dublethændelse uden data i den. I dette scenarie kan du slette din duplikerede hændelse direkte fra hændelseskøen i Azure Portal.

Sletning af en hændelse er ikke en erstatning for lukning af en hændelse! Sletning af en hændelse bør kun udføres, når mindst én af følgende betingelser er opfyldt:

  • Hændelsen blev oprettet manuelt ved en fejl.
  • Hændelsen duplikerer præcist en anden hændelse.
  • Fejlbehæftede hændelser blev genereret samlet af en brudt analyseregel.
  • Hændelsen indeholder ingen data – beskeder, enheder, bogmærker osv.

I alle andre tilfælde, hvor en hændelse ikke længere er nødvendig, bør den lukkes og ikke slettes. Lukning af en hændelse kræver, at du angiver årsagen til at lukke den, og giver dig mulighed for at tilføje yderligere kommentarer til kontekst og afklaring. Hvis du lukker gamle hændelser på denne måde, bevares gennemsigtigheden og integriteten af din SOC, og det giver også mulighed for at genåbne hændelsen, hvis problemet opstår igen.

Slet en hændelse ved hjælp af Azure Portal

Sådan sletter du en enkelt hændelse:

  1. Vælg Hændelser i navigationsmenuen Microsoft Sentinel.

  2. Vælg den hændelse, du vil slette, på siden Hændelser .

  3. Vælg Få vist alle detaljer i detaljeruden for at angive visningen med alle detaljer for hændelsen.

  4. Vælg Slet hændelse på knaplinjen øverst. Skærmbillede af sletning af hændelse fra detaljeskærmen.

  5. Svar Ja til den bekræftelsesprompt, der vises. Skærmbillede af bekræftelsesdialogboksen til sletning af enkelt hændelse.

Du kan også følge instruktionerne for sletning af flere hændelser (umiddelbart nedenfor) og markere afkrydsningsfeltet for en enkelt hændelse.

Sådan sletter du flere hændelser:

  1. Vælg Hændelser i navigationsmenuen Microsoft Sentinel.

  2. På siden Hændelser skal du vælge den eller de hændelser, du vil slette, ved at markere afkrydsningsfelterne ud for hver enkelt i hændelsesgitteret.

  3. Vælg Slet på knaplinjen. Skærmbillede af sletning af flere hændelser fra hændelseskøen.

  4. Svar Ja til den bekræftelsesprompt, der vises. Skærmbillede af bekræftelsesdialogboksen til sletning af flere hændelser.

Slet en hændelse ved hjælp af API'en til Microsoft Sentinel

Handlingsgruppen Hændelser giver dig mulighed for at slette hændelser samt oprette og opdatere (redigere), hente (hente) og vise dem.

Du sletter en hændelse ved hjælp af følgende slutpunkt. Når denne anmodning er foretaget, er hændelsen synlig i hændelseskøen på portalen.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Bemærkninger

  • Hvis du vil slette en hændelse, skal du have rollen Microsoft Sentinel bidragyder.

  • Sletning af en hændelse kan ikke fortrydes! Når du har slettet en hændelse, er den eneste reference til den overvågningsdataene i tabellen SecurityIncident på skærmen Logs. (Se skemadokumentationen for tabellen i Log Analytics). Feltet Status i tabellen opdateres til "Slettet" for den pågældende hændelse.

    Bemærk!

    På grund af grænsen på 64 KB for poststørrelsen i tabellen SecurityIncident kan kommentarer om hændelser afkortes (startende fra den tidligste), hvis grænsen overskrides.

  • Du kan ikke slette hændelser inde fra Microsoft Sentinel, der er importeret fra og synkroniseret med Microsoft Defender XDR.

  • Hvis en besked , der er relateret til en slettet hændelse , opdateres, eller hvis en ny besked grupperes under en slettet hændelse, oprettes der en ny hændelse for at erstatte den slettede.

Næste trin

Du kan finde flere oplysninger under:

  • Last updated on