Megosztás a következőn keresztül:


Adatveszteség-megelőzési riasztások vizsgálata a Microsoft Sentinel használatával

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Mielőtt elkezdené

További részletekért lásd: Adatveszteség-megelőzési riasztások vizsgálata Microsoft Defender XDR.

DLP-vizsgálati élmény a Microsoft Sentinelben

A Microsoft Sentinel Microsoft Defender XDR-összekötőjével az összes DLP-incidenst importálhatja a Sentinelbe, így kiterjesztheti a korrelációt, az észlelést és a vizsgálatot más adatforrásokra, és kibővítheti az automatizált vezénylési folyamatokat a Sentinel natív SOAR-képességeivel.

  1. Kövesse az Adatok csatlakoztatása Microsoft Defender XDR-ból a Microsoft Sentinelhez című cikk utasításait az összes incidens, köztük a DLP-incidensek és riasztások a Sentinelbe való importálásához. Engedélyezze CloudAppEvents az esemény-összekötőt, hogy lekérje az összes Office 365 auditnaplót a Sentinelbe.

    A fenti összekötő beállítása után látnia kell a DLP-incidenseket a Sentinelben.

  2. Válassza a Riasztások lehetőséget a riasztási oldal megtekintéséhez.

  3. Az AlertType, a startTime és az endTime használatával lekérdezheti a CloudAppEvents táblát a riasztáshoz hozzájáruló összes felhasználói tevékenység lekéréséhez. Ezzel a lekérdezésrel azonosíthatja az alapul szolgáló tevékenységeket:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.