Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
La eliminación de incidentes mediante el portal está actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
La eliminación de incidentes está disponible con carácter general a través de la API.
La capacidad de crear incidentes desde cero en Microsoft Sentinel en el Azure Portal abre la posibilidad de crear un incidente que más adelante decida que no debe tener. Por ejemplo, es posible que haya creado un incidente basado en un informe de empleado, antes de haber recibido pruebas (como alertas) y, poco después, reciba alertas que generen automáticamente el incidente en cuestión. Pero ahora, tiene un incidente duplicado sin datos en él. En este escenario, puede eliminar el incidente duplicado directamente de la cola de incidentes en el Azure Portal.
Eliminar un incidente no sustituye el cierre de un incidente. La eliminación de un incidente solo debe realizarse cuando se cumpla al menos una de las condiciones siguientes:
- El incidente se creó manualmente por error.
- El incidente duplica exactamente otro incidente.
- Los incidentes defectuosos se generaron de forma masiva mediante una regla de análisis interrumpida.
- El incidente no contiene datos: alertas, entidades, marcadores, etc.
En todos los demás casos, cuando ya no se necesita un incidente, debe cerrarse, no eliminarse. El cierre de un incidente requiere que especifique el motivo para cerrarlo y le permite agregar comentarios adicionales para el contexto y la aclaración. El cierre de incidentes antiguos de esta manera conserva la transparencia y la integridad de su SOC, y también permite la posibilidad de volver a abrir el incidente si el problema vuelve a aparecer.
Eliminación de un incidente mediante el Azure Portal
Para eliminar un único incidente:
En el menú de navegación Microsoft Sentinel, seleccione Incidentes.
En la página Incidentes , seleccione el incidente que desea eliminar.
Seleccione Ver detalles completos en el panel de detalles para especificar la vista de detalles completa del incidente.
Seleccione Eliminar incidente en la barra de botones de la parte superior.
Responda Sí al mensaje de confirmación que aparece.
Como alternativa, puede seguir las instrucciones para eliminar varios incidentes (inmediatamente a continuación) y marcar la casilla de un solo incidente.
Para eliminar varios incidentes:
En el menú de navegación Microsoft Sentinel, seleccione Incidentes.
En la página Incidentes , seleccione el incidente o los incidentes que desea eliminar, marcando las casillas situadas junto a cada uno de los incidentes de la cuadrícula de incidentes.
Seleccione Eliminar en la barra de botones.
Responda Sí al mensaje de confirmación que aparece.
Eliminación de un incidente mediante la API de Microsoft Sentinel
El grupo de operaciones Incidentes permite eliminar incidentes, así como crear y actualizar (editar),obtener (recuperar) y enumerarlos .
Elimina un incidente mediante el siguiente punto de conexión. Una vez realizada esta solicitud, el incidente será visible en la cola de incidentes del portal.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Notas
Para eliminar un incidente, debe tener el rol colaborador de Microsoft Sentinel.
Eliminar un incidente no es reversible. Después de eliminar un incidente, la única referencia a él serán los datos de auditoría de la tabla SecurityIncident de la pantalla Registros. (Consulte la documentación del esquema de la tabla en Log Analytics). El campo Estado de esa tabla se actualizará a "Eliminado" para ese incidente.
Nota:
Debido al límite de 64 KB del tamaño del registro en la tabla SecurityIncident , los comentarios de incidentes se pueden truncar (a partir de lo primero) si se supera el límite.
No se pueden eliminar incidentes desde dentro de Microsoft Sentinel que se importaron y sincronizaron con Microsoft Defender XDR.
Si se actualiza una alerta relacionada con un incidente eliminado o si una nueva alerta se agrupa en un incidente eliminado, se creará un nuevo incidente para reemplazar el eliminado.
Siguientes pasos
Para más información, vea: