Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Incidentverwijdering via de portal is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Het verwijderen van incidenten is algemeen beschikbaar via de API.
De mogelijkheid om helemaal nieuwe incidenten te maken in Microsoft Sentinel in de Azure Portal opent de mogelijkheid dat u een incident maakt dat u later besluit niet te hebben. U hebt bijvoorbeeld een incident gemaakt op basis van een werknemersrapport, voordat u bewijs hebt ontvangen (zoals waarschuwingen) en kort daarna ontvangt u waarschuwingen die automatisch het betreffende incident genereren. Maar nu hebt u een dubbel incident zonder gegevens. In dit scenario kunt u uw dubbele incident rechtstreeks verwijderen uit de incidentwachtrij in de Azure Portal.
Het verwijderen van een incident is geen vervanging voor het sluiten van een incident. Het verwijderen van een incident moet alleen worden uitgevoerd wanneer aan ten minste een van de volgende voorwaarden is voldaan:
- Het incident is per ongeluk handmatig gemaakt.
- Het incident dupliceerde precies een ander incident.
- Defecte incidenten zijn bulksgewijs gegenereerd door een niet-werkende analyseregel.
- Het incident bevat geen gegevens - waarschuwingen, entiteiten, bladwijzers, enzovoort.
In alle andere gevallen, wanneer een incident niet meer nodig is, moet het worden gesloten en niet worden verwijderd. Als u een incident sluit , moet u de reden voor het sluiten opgeven en kunt u aanvullende opmerkingen toevoegen voor context en verduidelijking. Het sluiten van oude incidenten op deze manier behoudt de transparantie en integriteit van uw SOC en biedt ook de mogelijkheid om het incident opnieuw te openen als het probleem zich opnieuw voordoet.
Een incident verwijderen met behulp van de Azure Portal
Eén incident verwijderen:
Selecteer incidenten in het navigatiemenu Microsoft Sentinel.
Selecteer op de pagina Incidenten het incident dat u wilt verwijderen.
Selecteer Volledige details weergeven in het detailvenster om de volledige detailweergave van het incident te openen.
Selecteer Incident verwijderen in de knopbalk bovenaan.
Antwoord Ja op de bevestigingsprompt die wordt weergegeven.
U kunt ook de instructies volgen voor het verwijderen van meerdere incidenten (direct eronder) en het selectievakje van één incident markeren.
Meerdere incidenten verwijderen:
Selecteer incidenten in het navigatiemenu Microsoft Sentinel.
Selecteer op de pagina Incidenten het incident of de incidenten die u wilt verwijderen door de selectievakjes naast elk incident in het incidentenraster te markeren.
Selecteer Verwijderen in de knopbalk.
Antwoord Ja op de bevestigingsprompt die wordt weergegeven.
Een incident verwijderen met behulp van de Microsoft Sentinel-API
Met de bewerkingsgroep Incidenten kunt u incidenten verwijderen en maken en bijwerken (bewerken),ophalen (ophalen) en deze weergeven .
U verwijdert een incident met behulp van het volgende eindpunt. Nadat deze aanvraag is gedaan, is het incident zichtbaar in de incidentwachtrij in de portal.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Opmerkingen
Als u een incident wilt verwijderen, moet u de rol Microsoft Sentinel Inzender hebben.
Het verwijderen van een incident is niet omkeerbaar. Nadat u een incident hebt verwijderd, worden de auditgegevens in de tabel SecurityIncident in het scherm Logboeken alleen naar het incident verwezen. (Zie de schemadocumentatie van de tabel in Log Analytics). Het veld Status in die tabel wordt bijgewerkt naar 'Verwijderd' voor dat incident.
Opmerking
Vanwege de limiet van 64 kB voor de recordgrootte in de tabel SecurityIncident kunnen opmerkingen bij incidenten worden afgekapt (vanaf de vroegste) als de limiet wordt overschreden.
U kunt geen incidenten verwijderen uit Microsoft Sentinel die zijn geïmporteerd uit en gesynchroniseerd met Microsoft Defender XDR.
Als een waarschuwing met betrekking tot een verwijderd incident wordt bijgewerkt of als een nieuwe waarschuwing is gegroepeerd onder een verwijderd incident, wordt er een nieuw incident gemaakt om het verwijderde incident te vervangen.
Volgende stappen
Zie voor meer informatie: