Azure portalのMicrosoft Sentinelでインシデントを削除する

  • 適用対象: Microsoft Sentinel in the Azure portal

重要

ポータルを使用したインシデントの削除は現在 プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。

インシデントの削除は、API を通じて一般提供されます。

Azure portalでMicrosoft Sentinelでインシデントをゼロから作成する機能により、後で作成すべきではないインシデントを作成する可能性が開きます。 たとえば、証拠 (アラートなど) を受け取る前に、従業員レポートに基づいてインシデントを作成し、その直後に問題のインシデントを自動的に生成するアラートを受け取る場合があります。 しかし、これで、データを含めずに重複するインシデントが発生しました。 このシナリオでは、Azure portalのインシデント キューから重複するインシデントを削除できます。

インシデントの削除は、インシデントを閉じる代わりには使用できません。 インシデントの削除は、次の条件の少なくとも 1 つが満たされた場合にのみ実行する必要があります。

  • インシデントは誤って手動で作成されました。
  • インシデントは別のインシデントを正確に複製します。
  • 障害のあるインシデントは、壊れた分析ルールによって一括で生成されました。
  • インシデントには、アラート、エンティティ、ブックマークなどのデータが含まれています。

それ以外のすべてのケースでは、インシデントが不要になったときは、削除されずに 閉じる必要があります。 インシデントを閉じる には、インシデントを閉じる理由を指定する必要があり、コンテキストと明確化のためのコメントを追加できます。 このように古いインシデントを閉じると、SOC の透明性と整合性が維持され、問題が再表面化した場合にインシデントを再び開く可能性も可能になります。

Azure portalを使用してインシデントを削除する

1 つのインシデントを削除するには:

  1. Microsoft Sentinel ナビゲーション メニューで、[インシデント] を選択します

  2. [インシデント] ページ 、削除するインシデントを選択します。

  3. インシデント の完全な詳細ビュー を入力するには、詳細ウィンドウで [完全な詳細の表示] を選択します。

  4. 上部のボタン バーから [ インシデントの削除] を選択します。 詳細画面からインシデントを削除するスクリーンショット。

  5. 表示される確認プロンプトに対して [はい] と 回答します。 1 つのインシデント削除の確認ダイアログのスクリーンショット。

または、複数のインシデントを削除する手順 (直下) に従って、1 つのインシデントのチェックボックスをオンにすることもできます。

複数のインシデントを削除するには:

  1. Microsoft Sentinel ナビゲーション メニューで、[インシデント] を選択します

  2. [ インシデント ] ページで、インシデント グリッド内の各インシデントの横にあるチェック ボックスをオンにして、削除するインシデントを選択します。

  3. ボタン バーから [削除] を選択します インシデント キューから複数のインシデントを削除するスクリーンショット。

  4. 表示される確認プロンプトに対して [はい] と 回答します。 複数インシデント削除の確認ダイアログのスクリーンショット。

Microsoft Sentinel API を使用してインシデントを削除する

Incidents 操作グループを使用すると、インシデントを削除したり、インシデントを作成および更新 (編集)取得 (取得)一覧表示したりできます。

のエンドポイントを 使用してインシデントを削除します。 この要求が行われると、インシデントはポータルのインシデント キューに表示されます。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

備考

  • インシデントを削除するには、Microsoft Sentinel共同作成者ロールが必要です。

  • インシデントの削除は元に戻すことはできません。 インシデントを削除した後、インシデントへの唯一の参照は、[ログ] 画面の SecurityIncident テーブル内の監査データです。 ( Log Analytics のテーブルのスキーマドキュメントを参照してください)。 そのテーブルの [状態] フィールドは、そのインシデントの "削除済み" に更新されます。

    注:

    SecurityIncident テーブルのレコード サイズの 64 KB の制限により、制限を超えた場合、インシデント コメントが切り捨てられる (最も早い位置から始まる) 可能性があります。

  • Microsoft Defender XDRからインポートおよび同期されたMicrosoft Sentinel内からインシデントを削除することはできません。

  • 削除されたインシデントに関連するアラートが更新された場合、または削除されたインシデントの下に新しいアラートがグループ化されている場合は、削除されたインシデントを置き換えるために新しいインシデントが作成されます。

次の手順

詳細については、以下を参照してください。

  • Last updated on