Delen via


Waarschuwingen voor preventie van gegevensverlies onderzoeken met Microsoft Sentinel

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Voordat u van start gaat

Zie Waarschuwingen voor preventie van gegevensverlies onderzoeken met Microsoft Defender XDR voor meer informatie.

DLP-onderzoekservaring in Microsoft Sentinel

U kunt de Microsoft Defender XDR-connector in Microsoft Sentinel gebruiken om alle DLP-incidenten in Sentinel te importeren om uw correlatie, detectie en onderzoek uit te breiden naar andere gegevensbronnen en om uw geautomatiseerde indelingsstromen uit te breiden met behulp van de systeemeigen SOAR-mogelijkheden van Sentinel.

  1. Volg de instructies voor Het verbinden van gegevens van Microsoft Defender XDR met Microsoft Sentinel om alle incidenten, inclusief DLP-incidenten en waarschuwingen, in Sentinel te importeren. Schakel CloudAppEvents gebeurtenisconnector in om alle Office 365 auditlogboeken op te halen in Sentinel.

    U moet uw DLP-incidenten in Sentinel kunnen zien zodra de bovenstaande connector is ingesteld.

  2. Selecteer Waarschuwingen om de waarschuwingspagina weer te geven.

  3. U kunt AlertType, startTime en endTime gebruiken om een query uit te voeren op de tabel CloudAppEvents om alle gebruikersactiviteiten op te halen die hebben bijgedragen aan de waarschuwing. Gebruik deze query om de onderliggende activiteiten te identificeren:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.