Bagikan melalui

Menghapus insiden di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal

Penting

Penghapusan insiden menggunakan portal saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Penghapusan insiden umumnya tersedia melalui API.

Kemampuan untuk membuat insiden dari awal di Microsoft Sentinel memungkinkan Anda dapat membuat insiden yang nantinya Anda putuskan untuk hapus. Misalnya, Anda mungkin telah membuat insiden berdasarkan laporan karyawan, sebelum menerima bukti apa pun (seperti pemberitahuan), lalu tak lama setelah itu Anda menerima pemberitahuan yang secara otomatis menghasilkan insiden tersebut. Tetapi sekarang, Anda memiliki insiden duplikat tanpa data di dalamnya. Dalam skenario ini, Anda dapat menghapus insiden duplikat langsung dari antrean insiden di portal.

Menghapus insiden bukanlah pengganti untuk menutup insiden! Menghapus insiden hanya boleh dilakukan ketika setidaknya salah satu kondisi berikut terpenuhi:

  • Insiden dibuat secara manual secara tidak sengaja.
  • Insiden adalah duplikat persis dari insiden lain.
  • Insiden rusak yang dihasilkan secara massal oleh aturan analitik yang rusak.
  • Insiden tidak berisi data - pemberitahuan, entitas, marka buku, dan sebagainya.

Dalam semua kasus lain, ketika insiden tidak lagi diperlukan, insiden harus ditutup, bukan dihapus. Menutup insiden mengharuskan Anda menentukan alasan untuk menutupnya, dan memungkinkan Anda memberikan komentar tambahan untuk konteks dan klarifikasi. Menutup insiden lama dengan cara ini akan mempertahankan transparansi dan integritas SOC Anda, serta memberikan kemungkinan membuka kembali insiden jika masalah muncul kembali.

Menghapus insiden menggunakan portal Azure

Untuk menghapus satu insiden:

  1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

  2. Pada halaman Insiden, pilih insiden yang ingin Anda hapus.

  3. Pilih Tampilkan detail lengkap di panel detail untuk memasukkan tampilan detail lengkap insiden.

  4. Pilih Hapus insiden dari bilah tombol di bagian atas. Screenshot of deleting incident from details screen.

  5. Jawab Ya pada permintaan konfirmasi yang muncul. Screenshot of single incident deletion confirmation dialog.

Atau, Anda dapat mengikuti petunjuk untuk menghapus beberapa insiden (tepat di bawah ini), dan mencentang kotak insiden tunggal.

Untuk menghapus beberapa insiden:

  1. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

  2. Pada halaman Insiden, pilih satu atau beberapa insiden yang ingin Anda hapus, dengan mencentang kotak di samping masing-masing insiden di kisi insiden.

  3. Pilih Hapus dari bilah tombol. Screenshot of deleting multiple incidents from incident queue.

  4. Jawab Ya pada permintaan konfirmasi yang muncul. Screenshot of multiple-incident-deletion confirmation dialog.

Menghapus insiden menggunakan API Microsoft Sentinel

Grup operasi Insiden memungkinkan Anda menghapus insiden serta membuat dan memperbarui (mengedit), mendapatkan (mengambil), dan mencantumkannya.

Hapus insiden menggunakan titik akhir berikut. Setelah permintaan ini dibuat, insiden akan terlihat dalam antrean insiden di portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Catatan

  • Untuk menghapus insiden, Anda harus memiliki peran Kontributor Microsoft Sentinel.

  • Menghapus insiden tidak dapat dibatalkan! Setelah Anda menghapus insiden, satu-satunya referensi ke insiden tersebut adalah data audit dalam tabel SecurityIncident di layar Log. (Lihat dokumentasi skema tabel di Analitik Log). Bidang Status dalam tabel tersebut akan diperbarui ke "Dihapus" untuk insiden tersebut.

    Catatan

    Karena batas 64 KB dari ukuran rekaman dalam tabel SecurityIncident, komentar insiden mungkin terpotong (dimulai dari yang paling awal) jika batas terlampaui.

  • Anda tidak dapat menghapus insiden dari dalam Microsoft Azure Sentinel yang diimpor dari dan disinkronkan dengan Microsoft Defender XDR.

  • Jika pemberitahuan yang terkait dengan insiden yang dihapus diperbarui, atau jika pemberitahuan baru dikelompokkan pada insiden yang dihapus, insiden baru akan dibuat untuk menggantikan yang telah dihapus.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: