Zkoumání upozornění ochrany před únikem informací pomocí Microsoft Sentinelu

Platí pro:

• Microsoft Defender XDR
• Microsoft Sentinel

Než začnete

Další podrobnosti najdete v tématu Zkoumání upozornění ochrany před únikem informací pomocí Microsoft Defender XDR.

Prostředí pro šetření ochrany před únikem informací ve službě Microsoft Sentinel

Konektor Microsoft Defender XDR v Microsoft Sentinelu můžete použít k importu všech incidentů ochrany před únikem informací do služby Sentinel, abyste rozšířili korelaci, detekci a šetření mezi další zdroje dat a rozšířili toky automatizované orchestrace pomocí nativních funkcí SOAR služby Sentinel.

1. Postupujte podle pokynů v tématu Připojení dat z Microsoft Defender XDR ke službě Microsoft Sentinel a importujte do služby Sentinel všechny incidenty včetně incidentů a výstrah ochrany před únikem informací. Povolte CloudAppEvents konektoru událostí načíst všechny protokoly auditu Office 365 do služby Sentinel.

   Po nastavení výše uvedeného konektoru byste měli být schopni zobrazit incidenty ochrany před únikem informací ve službě Sentinel.

2. Vyberte Výstrahy a zobrazte stránku upozornění.

3. Pomocí alertType, startTime a endTime můžete dotazovat tabulku CloudAppEvents a získat tak všechny aktivity uživatelů, které k upozornění přispěly. Pomocí tohoto dotazu identifikujte základní aktivity:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Související články

• Přehled incidentů
• Stanovení priorit incidentů
• Správa incidentů

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.