Forcepoint DLP-Connector für Microsoft Sentinel
Mit dem Forcepoint DLP-Connector (Data Loss Prevention, Verhinderung von Datenverlust) können Sie DLP-Incidentdaten automatisch in Echtzeit aus Forcepoint DLP in Microsoft Sentinel exportieren. Dies sorgt für einen tieferen Einblick in Benutzeraktivitäten und Datenverlustincidents, ermöglicht eine weitere Korrelation mit Daten aus Azure-Workloads und anderen Feeds und verbessert die Überwachungsfunktionen mit Arbeitsmappen in Microsoft Sentinel.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | ForcepointDLPEvents_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Community |
Abfragebeispiele
In den letzten drei Tagen ausgelöste Regeln
ForcepointDLPEvents_CL
| where TimeGenerated > ago(3d)
| summarize count(RuleName_1_s) by RuleName_1_s, SourceIpV4_s
| render barchart
Im Zeitverlauf ausgelöste Regeln (90 Tage)
ForcepointDLPEvents_CL
| where TimeGenerated > ago(90d)
| sort by CreatedAt_t asc nulls last
| summarize count(RuleName_1_s) by CreatedAt_t, RuleName_1_s
| render linechart
Anzahl der Regeln hoher, mittlerer und niedriger Priorität, die im Verlauf von 90 Tagen ausgelöst wurden
ForcepointDLPEvents_CL
| where TimeGenerated > ago(90d)
| sort by CreatedAt_t asc nulls last
| summarize count(Severity_s) by CreatedAt_t, Severity_s
| render barchart
Installationsanweisungen des Anbieters
Befolgen Sie die schrittweisen Anweisungen in der Forcepoint DLP-Dokumentation für Microsoft Sentinel, um diesen Connector zu konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.