חקירת התראות למניעת אובדן נתונים באמצעות Microsoft Sentinel
חל על:
- Microsoft Defender XDR
- Microsoft Sentinel
לפני שתתחיל
ראה חקירת התראות למניעת אובדן נתונים באמצעות Microsoft Defender XDR לקבלת פרטים נוספים.
חוויית חקירת DLP ב- Microsoft Sentinel
באפשרותך להשתמש במחבר Microsoft Defender XDR ב- Microsoft Sentinel כדי לייבא את כל אירועי DLP ל- Sentinel כדי להרחיב את המתאם, הזיהוי והחקירה שלך בין מקורות נתונים אחרים ולהרחיב את זרימות התזמור האוטומטיות שלך באמצעות יכולות SOAR המקוריות של Sentinel.
בצע הוראות לגבי חיבור נתונים מ- Microsoft Defender XDR ל- Microsoft Sentinel כדי לייבא את כל האירועים, כולל אירועי DLP והתראות ל- Sentinel. אפשר
CloudAppEvents
למחבר האירועים למשוך את Office 365 הביקורת לתוך Sentinel.אתה אמור להיות מסוגל לראות את מקרי DLP שלך ב- Sentinel לאחר הגדרת המחבר לעיל.
בחר התראות כדי להציג את דף ההתראה.
באפשרותך להשתמש ב - AlertType, startTime ו- endTime כדי לבצע שאילתה בטבלה CloudAppEvents כדי לקבל את כל פעילויות המשתמש שתרמו להתראה. השתמש בשאילתה זו כדי לזהות את הפעילויות המשמשות בהן:
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.