删除 Microsoft Sentinel 中的事件

重要

使用门户删除事件目前处于预览阶段。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

事件删除通过 API 正式发布。

在 Microsoft Sentinel 中从头开始创建事件的能力使得有可能创建事后认为不应该创建的事件。 例如,你可能在收到任何证据(例如警报)之前就根据员工报告创建了事件,不久之后你会收到自动生成相关事件的警报。 但现在,你有一个重复的事件,其中没有数据。 在这种情况下,可以直接从门户中的事件队列中删除重复的事件。

删除事件并不能代替关闭事件! 只有在至少满足以下条件之一的情况下,才应删除事件:

  • 事件是错误地手动创建的。
  • 这个事件完全重复了另一个事件。
  • 错误事件是由中断的分析规则批量生成的。
  • 事件不包含任何数据 - 警报、实体、书签等。

在所有其他情况下,当不再需要某个事件时,应该将其关闭,而不是删除。 关闭事件需要指定关闭它的原因,并允许为上下文和说明添加额外的注释。 以这种方式关闭旧事件可以保持 SOC 的透明度和完整性,并且还允许在问题再次出现时重新打开事件。

使用 Azure 门户删除事件

删除单个事件:

  1. 从 Microsoft Sentinel 导航菜单中,选择“事件”。

  2. 在“事件”页上,选择要删除的事件。

  3. 在详细信息窗格中选择“查看完整详细信息”以进入事件的完整详细信息视图。

  4. 从顶部的按钮栏中选择“删除事件”。 Screenshot of deleting incident from details screen.

  5. 对出现的确认提示回答“是”。 Screenshot of single incident deletion confirmation dialog.

或者,可以按照说明删除多个事件(如下所示),并标记单个事件的复选框。

删除多个事件:

  1. 从 Microsoft Sentinel 导航菜单中,选择“事件”。

  2. 在“事件”页上,通过选中事件网格中每个事件旁边的复选框来选择要删除的事件。

  3. 从按钮栏中选择“删除”。 Screenshot of deleting multiple incidents from incident queue.

  4. 对出现的确认提示回答“是”。 Screenshot of multiple-incident-deletion confirmation dialog.

使用 Microsoft Sentinel API 删除事件

使用事件操作组,可以删除事件,还可以创建和更新(编辑)获取(检索)列出事件。

使用以下终结点删除事件。 发出此请求后,将能在门户中的事件队列中看到该事件。

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

说明

  • 若要删除事件,必须具有 Microsoft Sentinel 参与者角色。

  • 删除事件是不可逆的! 删除事件后,对它的唯一引用将是“日志”屏幕中 SecurityIncident 表中的审核数据。 该事件在该表中的状态字段将更新为“已删除”。

    注意

    由于 SecurityIncident 表中记录大小的限制为 64 KB,因此如果超出限制,事件注释可能会被截断(从最早的开始)。

  • 如果与已删除事件相关的警报得到更新,或者如果新警报被分组到已删除事件下,则会创建一个新事件来替换已删除事件。

后续步骤

有关详细信息,请参阅: