Microsoft Sentinel でインシデントを削除する

  • [アーティクル]

重要

現在、ポータルを使用したインシデントの削除はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

インシデントの削除は、API を通じて一般提供されています。

Microsoft Sentinel でインシデントを一から作成する機能により、作成すべきではないと後から判断されるインシデントが作成される可能性が生まれます。 たとえば、証拠 (アラートなど) を受け取る前に、従業員レポートに基づいてインシデントを作成し、その後すぐに問題のインシデントを自動的に生成するアラートを受信する可能性があります。 しかし、これで、データのないインシデントが重複してしまいます。 このシナリオでは、ポータルのインシデント キューから重複するインシデントを直接削除できます。

インシデントを削除しても、インシデントを閉じる代わりにはなりません。 インシデントの削除は、次のいずれかの条件のうち少なくとも 1 つが満たされた場合にのみ実行する必要があります。

  • 誤ってインシデントが手動で作成された。
  • インシデントが別のインシデントと正確に重複している。
  • 壊れた分析ルールによって誤ったインシデントが一括で生成された。
  • インシデントに、アラート、エンティティ、ブックマークなどのデータが含まれている。

それ以外のすべてのケースでは、インシデントが不要になった場合は、削除せずに 閉じる必要があります。 インシデントを閉じる場合は、インシデントを閉じる理由を指定する必要があり、コンテキストや説明のためのコメントを追加できます。 古いインシデントをこのように閉じると、SOC の透明性と整合性が維持され、問題が再発した場合にインシデントを再開することが可能になります。

Azure portal を使用してインシデントを削除する

1 つのインシデントを削除するには、次の手順を実行します。

  1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

  2. [インシデント] ページで、削除するインシデントを選択します。

  3. 詳細ウィンドウで [すべての詳細を表示] を選択して、インシデントのすべての詳細の表示を入力します。

  4. 上部のボタン バーから [インシデントの削除] を選択します。 Screenshot of deleting incident from details screen.

  5. 表示された確認プロンプトに [はい] と回答します。 Screenshot of single incident deletion confirmation dialog.

または、複数のインシデントを削除する手順 (すぐ下) に従って、1 つのインシデントのチェック ボックスをオンにすることも可能です。

複数のインシデントを削除するには、次の手順を実行します。

  1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

  2. [インシデント] ページで、インシデント グリッドの各インシデントの横にあるチェック ボックスをオンにして、削除するインシデントを選択します。

  3. アクション バーから [削除] を選択します。 Screenshot of deleting multiple incidents from incident queue.

  4. 表示された確認プロンプトに [はい] と回答します。 Screenshot of multiple-incident-deletion confirmation dialog.

Microsoft Sentinel API を使用してインシデントを削除する

インシデント操作グループを使用すると、インシデントの削除だけでなく、インシデントの作成と更新 (編集)取得一覧表示も行うことができます。

次のエンドポイントを使用してインシデントを削除します。 この要求が行われた後、インシデントはポータルのインシデント キューに表示されます。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

メモ

  • インシデントを削除するには、Microsoft Sentinel 共同作成者ロールが必要です。

  • インシデントを削除すると元に戻すことはできません。 インシデントを削除した後は、[ログ] 画面の SecurityIncident テーブルの監査データが、そのインシデントへの唯一の参照になります (Log Analytics のテーブルのスキーマ ドキュメントを参照してください)。 そのテーブルのそのインシデントに対する [状態] フィールドは、"削除済み" に更新されます。

    注意

    SecurityIncident テーブルのレコード サイズに 64 KB の制限があるため、この制限を超えた場合、インシデントのコメントは (先頭から) 切り詰められる可能性があります。

  • Microsoft Defender XDR からインポートされ、Microsoft Defender XDR と同期された Microsoft Sentinel 内からインシデントを削除することはできません。

  • 削除されたインシデントに関連するアラートが更新された場合、または削除されたインシデントの下に新しいアラートがグループ化された場合は、削除されたインシデントを置き換えるために新しいインシデントが作成されます。

次のステップ

詳細については、次を参照してください。