Jaa


Tutki tietojen menetyksen estämisen hälytyksiä Microsoft Sentinelin avulla

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Ennen aloittamista

Lisätietoja on artikkelissa Tietojen menetyksen estämistä koskevien ilmoitusten tutkiminen Microsoft Defender XDR avulla.

DLP-tutkimuskokemus Microsoft Sentinelissä

Microsoft Sentinelin Microsoft Defender XDR-liittimellä voit tuoda kaikki DLP-tapaukset Sentineliin korrelaation, havaitsemisen ja tutkinnan laajentamiseksi kaikissa muissa tietolähteissä ja laajentaaksesi automatisoituja orkestrointityönkulkuja Sentinelin alkuperäisten SOAR-ominaisuuksien avulla.

  1. Tuo kaikki tapaukset, mukaan lukien DLP-tapaukset ja hälytykset Sentineliin, noudattamalla ohjeita kohdasta Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentineliin. Ota tapahtumayhdistin käyttöönCloudAppEvents, jotta voit hakea kaikki Office 365 valvontalokeista Sentineliin.

    Sinun pitäisi pystyä näkemään DLP-tapaukset Sentinelissä, kun yllä oleva liitin on määritetty.

  2. Valitse Ilmoitukset , jos haluat tarkastella ilmoitussivua.

  3. Voit käyttää AlertType-, startTime- ja endTime-funktioitaCloudAppEvents-taulukon kyselemiseen, jotta saat kaikki hälytykseen osallistuneet käyttäjän toimet. Tämän kyselyn avulla voit tunnistaa pohjana olevat toiminnot:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.