Ta bort incidenter i Microsoft Sentinel i Azure Portal

Möjligheten att skapa incidenter från grunden i Microsoft Sentinel i Azure Portal öppnar möjligheten att du skapar en incident som du senare bestämmer att du inte ska ha. Du kan till exempel ha skapat en incident baserat på en medarbetares rapport innan du har fått några bevis (till exempel aviseringar) och strax därefter får du aviseringar som automatiskt genererar incidenten i fråga. Men nu har du en duplicerad incident utan data i den. I det här scenariot kan du ta bort din duplicerade incident direkt från incidentkön i Azure Portal.

Att ta bort en incident är inte en ersättning för att stänga en incident! Du bör bara ta bort en incident när minst ett av följande villkor uppfylls:

• Incidenten skapades manuellt av misstag.
• Incidenten duplicerar exakt en annan incident.
• Felaktiga incidenter genererades i grupp av en bruten analysregel.
• Incidenten innehåller inga data – aviseringar, entiteter, bokmärken och så vidare.

I alla andra fall, när en incident inte längre behövs, bör den stängas, inte tas bort. Om du stänger en incident måste du ange orsaken till att den stängs och du kan lägga till ytterligare kommentarer för kontext och förtydliganden. Om du stänger gamla incidenter på det här sättet bevaras transparensen och integriteten i din SOC, och det gör det också möjligt att öppna incidenten igen om problemet dyker upp igen.

Ta bort en incident med hjälp av Azure Portal

Så här tar du bort en enskild incident:

1. På navigeringsmenyn Microsoft Sentinel väljer du Incidenter.

2. På sidan Incidenter väljer du den incident som du vill ta bort.

3. Välj Visa fullständig information i informationsfönstret för att ange incidentens fullständiga informationsvy.

4. Välj Ta bort incident i knappfältet längst upp.

5. Svara Ja på bekräftelseprompten som visas.

Du kan också följa anvisningarna för att ta bort flera incidenter (omedelbart nedan) och markera kryssrutan för en enskild incident.

Så här tar du bort flera incidenter:

1. På navigeringsmenyn Microsoft Sentinel väljer du Incidenter.

2. På sidan Incidenter väljer du den incident eller de incidenter som du vill ta bort genom att markera kryssrutorna bredvid var och en i incidentrutnätet.

3. Välj Ta bort i knappfältet.

4. Svara Ja på bekräftelseprompten som visas.

Ta bort en incident med hjälp av Microsoft Sentinel-API:et

Med åtgärdsgruppen Incidenter kan du ta bort incidenter samt skapa och uppdatera (redigera), hämta (hämta) och lista dem.

Du tar bort en incident med hjälp av följande slutpunkt. När den här begäran har gjorts visas incidenten i incidentkön i portalen.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Kommentar

• Om du vill ta bort en incident måste du ha rollen Microsoft Sentinel Deltagare.

• Det går inte att ångra borttagningen av en incident! När du har tagit bort en incident är den enda referensen till den granskningsdata i tabellen SecurityIncident på skärmen Loggar. (Se tabellens schemadokumentation i Log Analytics). Fältet Status i tabellen uppdateras till "Borttaget" för incidenten.

  Obs!

  På grund av 64 KB-gränsen för poststorleken i tabellen SecurityIncident kan incidentkommentarer trunkeras (från och med tidigast) om gränsen överskrids.

• Du kan inte ta bort incidenter inifrån Microsoft Sentinel som har importerats från och synkroniserats med Microsoft Defender XDR.

• Om en avisering relaterad till en borttagen incident uppdateras, eller om en ny avisering grupperas under en borttagen incident, skapas en ny incident för att ersätta den borttagna.

Nästa steg

Mer information finns i:

• Skapa egna incidenter manuellt i Microsoft Sentinel
• Relatera aviseringar till incidenter i Microsoft Sentinel
• Navigera, sortera och hantera Microsoft Sentinel incidenter
• Undersöka Microsoft Sentinel incidenter på djupet