Compartir vía

Eliminación de incidentes en Microsoft Sentinel

  • Artículo

Importante

La eliminación de incidentes mediante el portal se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

La eliminación de incidentes tiene disponibilidad general mediante la API.

El que se pueda crear incidentes desde cero en Microsoft Sentinel permite crear un incidente que más luego decida que no debería haber creado. Por ejemplo, pudo haber creado un incidente con base en el informe de un empleado antes recibir cualquier evidencia (como alertas); a continuación, recibir alertas y que estas generen automáticamente el incidente mencionado. Ahora tiene un incidente duplicado sin datos en él. En este escenario, puede eliminar el incidente duplicado directamente de la cola de incidentes en el portal.

La eliminación de un incidente no sustituye el tener que cerrarlo. La eliminación de un incidente solo se debe hacer cuando se cumple al menos una de las condiciones siguientes:

  • El incidente se creó manualmente por error.
  • El incidente duplica exactamente otro incidente.
  • Los incidentes defectuosos se generaron de forma masiva mediante una regla de análisis rota.
  • El incidente no contiene datos: alertas, entidades, marcadores, etc.

En todos los demás casos, cuando ya no se necesita un incidente, se debe cerrar, no eliminar. El cierre de un incidente requiere que especifique el motivo para cerrarlo y le permite agregar comentarios adicionales como contexto y aclaración. Cerrar incidentes antiguos de esta manera conserva la transparencia e integridad de su SOC, y permite la posibilidad de volver a abrir el incidente si el problema vuelve a aparecer.

Eliminación de un incidente mediante Azure Portal

Para eliminar un único incidente:

  1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

  2. En la página Incidentes, seleccione el incidente que desea eliminar.

  3. Seleccione Ver detalles completos en el panel de detalles para escribir la vista de detalles completa del incidente.

  4. Seleccione Eliminar incidente en la barra de botones de la parte superior. Screenshot of deleting incident from details screen.

  5. Responda al mensaje de confirmación que aparezca. Screenshot of single incident deletion confirmation dialog.

Como alternativa, puede seguir las instrucciones para eliminar varios incidentes (a continuación) y marcar la casilla de un solo incidente.

Para eliminar varios incidentes:

  1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

  2. En la página Incidentes, seleccione los que quiera eliminar al marcar las casillas situadas junto a cada uno de los incidentes de la cuadrícula.

  3. Seleccione Eliminar en la barra de acciones. Screenshot of deleting multiple incidents from incident queue.

  4. Responda al mensaje de confirmación que aparezca. Screenshot of multiple-incident-deletion confirmation dialog.

Eliminación de un incidente mediante la API de Microsoft Sentinel

El grupo de operaciones Incidentes permite eliminar incidentes, así como crear y actualizar (editar), obtener (recuperar) y enumerarlos.

Puede eliminar un incidente mediante el siguiente punto de conexión. Una vez hecha esta solicitud, el incidente estará visible en la cola de incidentes en el portal.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Notas

  • Para eliminar un incidente, debe tener el rol Colaborador de Microsoft Sentinel.

  • La eliminación de un incidente no es reversible. Después de eliminar un incidente, la única referencia que haya de él será los datos de auditoría de la tabla SecurityIncident en la pantalla Registros. (Consulte la documentación del esquema de la tabla en Log Analytics). El campo Estado de esa tabla se actualizará a "Eliminado" para ese incidente.

    Nota

    Debido al límite de 64 KB del tamaño de registro en la tabla SecurityIncident, los comentarios de los incidentes se pueden truncar (a partir del más antiguo) si se supera el límite.

  • No se pueden eliminar incidentes desde Microsoft Sentinel importados y sincronizados con XDR de Microsoft Defender.

  • Si se actualiza una alerta relacionada con un incidente eliminado o si se agrupa una nueva alerta en un incidente eliminado, se creará un nuevo incidente para reemplazarlo.

Pasos siguientes

Para más información, consulte: