Microsoft Sentinel を使用してデータ損失防止アラートを調査する
適用対象:
- Microsoft Defender XDR
- Microsoft Sentinel
始める前に
詳細については、「Microsoft Defender XDRを使用してデータ損失防止アラートを調査する」を参照してください。
Microsoft Sentinel での DLP 調査エクスペリエンス
Microsoft Sentinel の Microsoft Defender XDR コネクタを使用して、すべての DLP インシデントを Sentinel にインポートして、他のデータ ソース間で相関関係、検出、調査を拡張し、Sentinel のネイティブ SOAR 機能を使用して自動オーケストレーション フローを拡張できます。
「Microsoft Defender XDRから Microsoft Sentinel にデータを接続する」の手順に従って、DLP インシデントやアラートを含むすべてのインシデントを Sentinel にインポートします。 イベント コネクタを有効に
CloudAppEvents
して、すべてのOffice 365監査ログを Sentinel にプルします。上記のコネクタが設定されると、Sentinel で DLP インシデントを確認できます。
[アラート] を選択して、アラート ページを表示します。
AlertType、startTime、endTime を使用して CloudAppEvents テーブルに対してクエリを実行して、アラートに貢献したすべてのユーザー アクティビティを取得できます。 このクエリを使用して、基になるアクティビティを特定します。
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。