Compartilhar via


Investigar alertas de prevenção contra perda de dados com o Microsoft Sentinel

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Antes de começar

Consulte Investigar alertas de prevenção contra perda de dados com Microsoft Defender XDR para obter mais detalhes.

Experiência de investigação DLP no Microsoft Sentinel

Você pode usar o conector Microsoft Defender XDR no Microsoft Sentinel para importar todos os incidentes DLP para o Sentinel para estender sua correlação, detecção e investigação entre outras fontes de dados e estender seus fluxos de orquestração automatizados usando as funcionalidades SOAR nativas do Sentinel.

  1. Siga as instruções sobre Conectar dados de Microsoft Defender XDR ao Microsoft Sentinel para importar todos os incidentes, incluindo incidentes DLP e alertas para o Sentinel. Habilite o CloudAppEvents conector de eventos para puxar todos os logs de auditoria Office 365 para o Sentinel.

    Você deve ser capaz de ver seus incidentes de DLP no Sentinel depois que o conector acima for configurado.

  2. Selecione Alertas para exibir a página de alerta.

  3. Você pode usar AlertType, startTime e endTime para consultar a tabela CloudAppEvents para obter todas as atividades do usuário que contribuíram para o alerta. Use esta consulta para identificar as atividades subjacentes:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.