Tutki tietojen menetyksen estämisen hälytyksiä Microsoft Sentinelin avulla
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Sentinel
Ennen aloittamista
Lisätietoja on artikkelissa Tietojen menetyksen estämistä koskevien ilmoitusten tutkiminen Microsoft Defender XDR avulla.
DLP-tutkimuskokemus Microsoft Sentinelissä
Microsoft Sentinelin Microsoft Defender XDR-liittimellä voit tuoda kaikki DLP-tapaukset Sentineliin korrelaation, havaitsemisen ja tutkinnan laajentamiseksi kaikissa muissa tietolähteissä ja laajentaaksesi automatisoituja orkestrointityönkulkuja Sentinelin alkuperäisten SOAR-ominaisuuksien avulla.
Tuo kaikki tapaukset, mukaan lukien DLP-tapaukset ja hälytykset Sentineliin, noudattamalla ohjeita kohdasta Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentineliin. Ota tapahtumayhdistin käyttöön
CloudAppEvents
, jotta voit hakea kaikki Office 365 valvontalokeista Sentineliin.Sinun pitäisi pystyä näkemään DLP-tapaukset Sentinelissä, kun yllä oleva liitin on määritetty.
Valitse Ilmoitukset , jos haluat tarkastella ilmoitussivua.
Voit käyttää AlertType-, startTime- ja endTime-funktioitaCloudAppEvents-taulukon kyselemiseen, jotta saat kaikki hälytykseen osallistuneet käyttäjän toimet. Tämän kyselyn avulla voit tunnistaa pohjana olevat toiminnot:
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
Aiheeseen liittyviä artikkeleita
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.