Share via


Investigar alertas de prevención de pérdida de datos con Microsoft Sentinel

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Antes de empezar

Consulte Investigar alertas de prevención de pérdida de datos con Microsoft Defender XDR para obtener más información.

Experiencia de investigación dlp en Microsoft Sentinel

Puede usar el conector de Microsoft Defender XDR de Microsoft Sentinel para importar todos los incidentes DLP en Sentinel con el fin de ampliar la correlación, la detección y la investigación entre otros orígenes de datos y ampliar los flujos de orquestación automatizados mediante las funcionalidades soar nativas de Sentinel.

  1. Siga las instrucciones de Conexión de datos de Microsoft Defender XDR a Microsoft Sentinel para importar todos los incidentes, incluidos los incidentes y alertas DLP, en Sentinel. Habilite CloudAppEvents el conector de eventos para extraer todos los registros de auditoría de Office 365 en Sentinel.

    Debería poder ver los incidentes DLP en Sentinel una vez configurado el conector anterior.

  2. Seleccione Alertas para ver la página de alertas.

  3. Puede usar AlertType, startTime y endTime para consultar la tabla CloudAppEvents para obtener todas las actividades de usuario que contribuyeron a la alerta. Use esta consulta para identificar las actividades subyacentes:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.