次の方法で共有


Microsoft Sentinel を使用してデータ損失防止アラートを調査する

適用対象:

  • Microsoft Defender XDR
  • Microsoft Sentinel

始める前に

詳細については、「Microsoft Defender XDRを使用してデータ損失防止アラートを調査する」を参照してください。

Microsoft Sentinel での DLP 調査エクスペリエンス

Microsoft Sentinel の Microsoft Defender XDR コネクタを使用して、すべての DLP インシデントを Sentinel にインポートして、他のデータ ソース間で相関関係、検出、調査を拡張し、Sentinel のネイティブ SOAR 機能を使用して自動オーケストレーション フローを拡張できます。

  1. 「Microsoft Defender XDRから Microsoft Sentinel にデータを接続する」の手順に従って、DLP インシデントやアラートを含むすべてのインシデントを Sentinel にインポートします。 イベント コネクタを有効にCloudAppEventsして、すべてのOffice 365監査ログを Sentinel にプルします。

    上記のコネクタが設定されると、Sentinel で DLP インシデントを確認できます。

  2. [アラート] を選択して、アラート ページを表示します。

  3. AlertTypestartTimeendTime を使用して CloudAppEvents テーブルに対してクエリを実行して、アラートに貢献したすべてのユーザー アクティビティを取得できます。 このクエリを使用して、基になるアクティビティを特定します。

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします