Eliminar incidentes em Microsoft Sentinel no portal do Azure

  • Aplica-se a: Microsoft Sentinel in the Azure portal

Importante

A eliminação de incidentes com o portal está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

A eliminação de incidentes está geralmente disponível através da API.

A capacidade de criar incidentes de raiz no Microsoft Sentinel no portal do Azure abre a possibilidade de criar um incidente que mais tarde decida que não deveria ter. Por exemplo, pode ter criado um incidente com base num relatório de funcionário, antes de ter recebido qualquer prova (como alertas) e, pouco tempo depois, receber alertas que geram automaticamente o incidente em questão. No entanto, tem agora um incidente duplicado sem dados. Neste cenário, pode eliminar o incidente duplicado diretamente da fila de incidentes no portal do Azure.

Eliminar um incidente não substitui o encerramento de um incidente! A eliminação de um incidente só deve ser efetuada quando for cumprida, pelo menos, uma das seguintes condições:

  • O incidente foi criado manualmente por engano.
  • O incidente duplica exatamente outro incidente.
  • Os incidentes defeituosos foram gerados em massa por uma regra de análise quebrada.
  • O incidente não contém dados - alertas, entidades, marcadores, etc.

Em todos os outros casos, quando um incidente já não é necessário, deve ser fechado e não eliminado. Fechar um incidente requer que especifique o motivo para fechá-lo e permite-lhe adicionar comentários adicionais para contexto e esclarecimentos. Fechar incidentes antigos desta forma preserva a transparência e integridade do SOC e também permite a possibilidade de reabrir o incidente se o problema reaparecer.

Eliminar um incidente com o portal do Azure

Para eliminar um único incidente:

  1. No menu de navegação Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes , selecione o incidente que pretende eliminar.

  3. Selecione Ver detalhes completos no painel de detalhes para introduzir a vista de detalhes completa do incidente.

  4. Selecione Eliminar incidente na barra de botões na parte superior. Captura de ecrã a mostrar a eliminação do incidente no ecrã de detalhes.

  5. Responda Sim ao pedido de confirmação apresentado. Captura de ecrã a mostrar a caixa de diálogo de confirmação de eliminação de incidente único.

Em alternativa, pode seguir as instruções para eliminar múltiplos incidentes (imediatamente abaixo) e marcar a caixa de verificação de um único incidente.

Para eliminar vários incidentes:

  1. No menu de navegação Microsoft Sentinel, selecione Incidentes.

  2. Na página Incidentes , selecione o incidente ou incidentes que pretende eliminar ao marcar as caixas de verificação junto a cada um na grelha de incidentes.

  3. Selecione Eliminar na barra de botões. Captura de ecrã a mostrar a eliminação de vários incidentes da fila de incidentes.

  4. Responda Sim ao pedido de confirmação apresentado. Captura de ecrã a mostrar a caixa de diálogo de confirmação de eliminação de múltiplos incidentes.

Eliminar um incidente com a API de Microsoft Sentinel

O grupo de operações Incidentes permite-lhe eliminar incidentes, bem como criar e atualizar (editar),obter (obter) e listá-los .

Elimina um incidente com o seguinte ponto final. Após este pedido ser feito, o incidente estará visível na fila de incidentes no portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notas

Passos seguintes

Para mais informações, consulte:

  • Last updated on