שתף באמצעות


חקירת התראות למניעת אובדן נתונים באמצעות Microsoft Sentinel

חל על:

  • Microsoft Defender XDR
  • Microsoft Sentinel

לפני שתתחיל

ראה חקירת התראות למניעת אובדן נתונים באמצעות Microsoft Defender XDR לקבלת פרטים נוספים.

חוויית חקירת DLP ב- Microsoft Sentinel

באפשרותך להשתמש במחבר Microsoft Defender XDR ב- Microsoft Sentinel כדי לייבא את כל אירועי DLP ל- Sentinel כדי להרחיב את המתאם, הזיהוי והחקירה שלך בין מקורות נתונים אחרים ולהרחיב את זרימות התזמור האוטומטיות שלך באמצעות יכולות SOAR המקוריות של Sentinel.

  1. בצע הוראות לגבי חיבור נתונים מ- Microsoft Defender XDR ל- Microsoft Sentinel כדי לייבא את כל האירועים, כולל אירועי DLP והתראות ל- Sentinel. אפשר CloudAppEvents למחבר האירועים למשוך את Office 365 הביקורת לתוך Sentinel.

    אתה אמור להיות מסוגל לראות את מקרי DLP שלך ב- Sentinel לאחר הגדרת המחבר לעיל.

  2. בחר התראות כדי להציג את דף ההתראה.

  3. באפשרותך להשתמש ב - AlertType, startTime ו- endTime כדי לבצע שאילתה בטבלה CloudAppEvents כדי לקבל את כל פעילויות המשתמש שתרמו להתראה. השתמש בשאילתה זו כדי לזהות את הפעילויות המשמשות בהן:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.