Microsoft Sentinel을 사용하여 데이터 손실 방지 경고 조사

적용 대상:

• Microsoft Defender XDR
• Microsoft Sentinel

시작하기 전에

자세한 내용은 Microsoft Defender XDR 사용하여 데이터 손실 방지 경고 조사를 참조하세요.

Microsoft Sentinel의 DLP 조사 환경

Microsoft Sentinel의 Microsoft Defender XDR 커넥터를 사용하여 모든 DLP 인시던트가 Sentinel로 가져와서 다른 데이터 원본 간에 상관 관계, 검색 및 조사를 확장하고 Sentinel의 네이티브 SOAR 기능을 사용하여 자동화된 오케스트레이션 흐름을 확장할 수 있습니다.

1. Microsoft Defender XDR Microsoft Sentinel에 데이터 연결에 대한 지침에 따라 DLP 인시던트 및 경고를 포함한 모든 인시던트가 Sentinel로 가져옵니다. 이벤트 커넥터를 사용하여 CloudAppEvents 모든 Office 365 감사 로그를 Sentinel로 끌어올 수 있습니다.

   위의 커넥터가 설정되면 Sentinel에서 DLP 인시던트 를 볼 수 있어야 합니다.

2. 경고를 선택하여 경고 페이지를 봅니다.

3. AlertType, startTime 및 endTime을 사용하여 CloudAppEvents 테이블을 쿼리하여 경고에 기여한 모든 사용자 활동을 가져올 수 있습니다. 이 쿼리를 사용하여 기본 활동을 식별합니다.

Kusto

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

관련 문서

• 인시던트 개요
• 인시던트 우선 순위 지정
• 인시던트 관리

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.