Eliminare gli eventi imprevisti in Microsoft Sentinel nel portale di Azure

  • Si applica a: Microsoft Sentinel in the Azure portal

Importante

L'eliminazione degli eventi imprevisti tramite il portale è attualmente disponibile in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.

L'eliminazione degli eventi imprevisti è disponibile a livello generale tramite l'API.

La possibilità di creare eventi imprevisti da zero in Microsoft Sentinel nel portale di Azure apre la possibilità di creare un evento imprevisto che in seguito si decide di non avere. Ad esempio, è possibile che sia stato creato un evento imprevisto basato su un report dei dipendenti, prima di aver ricevuto alcuna prova (ad esempio gli avvisi) e subito dopo si riceveranno avvisi che generano automaticamente l'evento imprevisto in questione. Ma ora si verifica un evento imprevisto duplicato senza dati. In questo scenario è possibile eliminare l'evento imprevisto duplicato direttamente dalla coda degli eventi imprevisti nel portale di Azure.

L'eliminazione di un evento imprevisto non sostituisce la chiusura di un evento imprevisto. L'eliminazione di un evento imprevisto deve essere eseguita solo quando viene soddisfatta almeno una delle condizioni seguenti:

  • L'evento imprevisto è stato creato manualmente per errore.
  • L'evento imprevisto duplica esattamente un altro evento imprevisto.
  • Gli eventi imprevisti difettosi sono stati generati in blocco da una regola di analisi interrotta.
  • L'evento imprevisto non contiene dati: avvisi, entità, segnalibri e così via.

In tutti gli altri casi, quando un evento imprevisto non è più necessario, deve essere chiuso, non eliminato. La chiusura di un evento imprevisto richiede di specificare il motivo della chiusura e consente di aggiungere altri commenti per il contesto e il chiarimento. La chiusura di eventi imprevisti precedenti in questo modo mantiene la trasparenza e l'integrità del soc e consente anche la possibilità di riaprire l'evento imprevisto se il problema si riprosume.

Eliminare un evento imprevisto usando il portale di Azure

Per eliminare un singolo evento imprevisto:

  1. Dal menu di spostamento Microsoft Sentinel selezionare Eventi imprevisti.

  2. Nella pagina Eventi imprevisti selezionare l'evento imprevisto da eliminare.

  3. Selezionare Visualizza dettagli completi nel riquadro dei dettagli per immettere la visualizzazione dei dettagli completi dell'evento imprevisto.

  4. Selezionare Elimina evento imprevisto dalla barra dei pulsanti nella parte superiore. Screenshot dell'eliminazione dell'evento imprevisto dalla schermata dei dettagli.

  5. Rispondere alla richiesta di conferma visualizzata. Screenshot della finestra di dialogo di conferma dell'eliminazione di un singolo evento imprevisto.

In alternativa, è possibile seguire le istruzioni per l'eliminazione di più eventi imprevisti (immediatamente sotto) e contrassegnare la casella di controllo di un singolo evento imprevisto.

Per eliminare più eventi imprevisti:

  1. Dal menu di spostamento Microsoft Sentinel selezionare Eventi imprevisti.

  2. Nella pagina Eventi imprevisti selezionare l'evento imprevisto o gli eventi imprevisti da eliminare contrassegnando le caselle di controllo accanto a ognuna nella griglia degli eventi imprevisti.

  3. Selezionare Elimina dalla barra dei pulsanti. Screenshot dell'eliminazione di più eventi imprevisti dalla coda degli eventi imprevisti.

  4. Rispondere alla richiesta di conferma visualizzata. Screenshot della finestra di dialogo di conferma dell'eliminazione di più eventi imprevisti.

Eliminare un evento imprevisto usando l'API Microsoft Sentinel

Il gruppo di operazioni Eventi imprevisti consente di eliminare gli eventi imprevisti, nonché di crearli e aggiornarli (modifica),ottenere (recuperare) ed elencarli .

Eliminare un evento imprevisto usando l'endpoint seguente. Dopo aver effettuato questa richiesta, l'evento imprevisto sarà visibile nella coda degli eventi imprevisti nel portale.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Note

  • Per eliminare un evento imprevisto, è necessario disporre del ruolo Collaboratore Microsoft Sentinel.

  • L'eliminazione di un evento imprevisto non è reversibile. Dopo aver eliminato un evento imprevisto, l'unico riferimento a tale evento saranno i dati di controllo nella tabella SecurityIncident nella schermata Log. Vedere la documentazione dello schema della tabella in Log Analytics. Il campo Stato in tale tabella verrà aggiornato in "Eliminato" per l'evento imprevisto.

    Nota

    A causa del limite di 64 KB delle dimensioni del record nella tabella SecurityIncident , i commenti degli eventi imprevisti possono essere troncati (a partire dalla prima) se il limite viene superato.

  • Non è possibile eliminare eventi imprevisti dall'interno di Microsoft Sentinel importati e sincronizzati con Microsoft Defender XDR.

  • Se viene aggiornato un avviso correlato a un evento imprevisto eliminato o se un nuovo avviso è raggruppato in un evento imprevisto eliminato, verrà creato un nuovo evento imprevisto per sostituire quello eliminato.

Passaggi successivi

Per ulteriori informazioni, vedere:

  • Last updated on