Соединитель Forcepoint DLP для Microsoft Sentinel
Соединитель Forcepoint DLP (Защита от потери данных) позволяет автоматически экспортировать данные инцидентов защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ForcepointDLPEvents_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Сообщество |
Примеры запросов
Правила, активированные за последние три дня
ForcepointDLPEvents_CL
| where TimeGenerated > ago(3d)
| summarize count(RuleName_1_s) by RuleName_1_s, SourceIpV4_s
| render barchart
Правила, активированные с течением времени (90 дней)
ForcepointDLPEvents_CL
| where TimeGenerated > ago(90d)
| sort by CreatedAt_t asc nulls last
| summarize count(RuleName_1_s) by CreatedAt_t, RuleName_1_s
| render linechart
Количество правил high, medium и low, активированных в течение 90 дней
ForcepointDLPEvents_CL
| where TimeGenerated > ago(90d)
| sort by CreatedAt_t asc nulls last
| summarize count(Severity_s) by CreatedAt_t, Severity_s
| render barchart
Инструкции по установке поставщика
Выполните пошаговые инструкции в документации по DLP Forcepoint для Microsoft Sentinel , чтобы настроить этот соединитель.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.