Supprimer des incidents dans Microsoft Sentinel dans le Portail Azure

  • S’applique à: Microsoft Sentinel in the Azure portal

Importante

La suppression de l’incident à l’aide du portail est actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.

La suppression de l’incident est généralement disponible via l’API.

La possibilité de créer des incidents à partir de zéro dans Microsoft Sentinel dans le Portail Azure vous ouvre la possibilité de créer un incident que vous décidez ultérieurement de ne pas avoir. Par exemple, vous avez peut-être créé un incident basé sur un rapport d’employé, avant d’avoir reçu des preuves (telles que des alertes), et peu de temps après, vous recevez des alertes qui génèrent automatiquement l’incident en question. Mais maintenant, vous avez un incident en double sans données. Dans ce scénario, vous pouvez supprimer votre incident en double directement de la file d’attente des incidents dans le Portail Azure.

La suppression d’un incident ne remplace pas la fermeture d’un incident ! La suppression d’un incident ne doit être effectuée que si au moins l’une des conditions suivantes est remplie :

  • L’incident a été créé manuellement par erreur.
  • L’incident duplique exactement un autre incident.
  • Les incidents défectueux ont été générés en bloc par une règle d’analyse rompue.
  • L’incident ne contient aucune donnée : alertes, entités, signets, etc.

Dans tous les autres cas, lorsqu’un incident n’est plus nécessaire, il doit être fermé, et non supprimé. La fermeture d’un incident vous oblige à spécifier la raison de sa fermeture et vous permet d’ajouter des commentaires supplémentaires pour le contexte et la clarification. La fermeture des anciens incidents de cette façon préserve la transparence et l’intégrité de votre SOC et permet également de rouvrir l’incident si le problème ressurgit.

Supprimer un incident à l’aide du Portail Azure

Pour supprimer un seul incident :

  1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Incidents.

  2. Dans la page Incidents , sélectionnez l’incident que vous souhaitez supprimer.

  3. Sélectionnez Afficher les détails complets dans le volet d’informations pour entrer l’affichage complet des détails de l’incident.

  4. Sélectionnez Supprimer l’incident dans la barre de boutons en haut. Capture d’écran de la suppression de l’incident de l’écran des détails.

  5. Répondez Oui à l’invite de confirmation qui s’affiche. Capture d’écran de la boîte de dialogue de confirmation de la suppression d’un seul incident.

Vous pouvez également suivre les instructions de suppression de plusieurs incidents (immédiatement en dessous) et cocher la case à cocher d’un seul incident.

Pour supprimer plusieurs incidents :

  1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Incidents.

  2. Dans la page Incidents , sélectionnez le ou les incidents que vous souhaitez supprimer, en cochant les cases en regard de chacun d’eux dans la grille des incidents.

  3. Sélectionnez Supprimer dans la barre de boutons. Capture d’écran de la suppression de plusieurs incidents de la file d’attente des incidents.

  4. Répondez Oui à l’invite de confirmation qui s’affiche. Capture d’écran de la boîte de dialogue de confirmation de suppression de plusieurs incidents.

Supprimer un incident à l’aide de l’API Microsoft Sentinel

Le groupe d’opérations Incidents vous permet de supprimer des incidents, de les créer et de les mettre à jour (modifier),d’obtenir (récupérer) et de les répertorier .

Vous supprimez un incident à l’aide du point de terminaison suivant. Une fois cette demande effectuée, l’incident est visible dans la file d’attente des incidents dans le portail.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notes

  • Pour supprimer un incident, vous devez disposer du rôle Contributeur Microsoft Sentinel.

  • La suppression d’un incident n’est pas réversible ! Une fois que vous avez supprimé un incident, la seule référence à celui-ci est les données d’audit dans la table SecurityIncident de l’écran Journaux. (Consultez la documentation du schéma de la table dans Log Analytics). Le champ État de cette table sera mis à jour en « Supprimé » pour cet incident.

    Remarque

    En raison de la limite de 64 Ko de la taille des enregistrements dans la table SecurityIncident , les commentaires d’incident peuvent être tronqués (à partir du plus tôt) si la limite est dépassée.

  • Vous ne pouvez pas supprimer les incidents à partir de Microsoft Sentinel qui ont été importés et synchronisés avec Microsoft Defender XDR.

  • Si une alerte liée à un incident supprimé est mise à jour, ou si une nouvelle alerte est regroupée sous un incident supprimé, un nouvel incident est créé pour remplacer celui supprimé.

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on