Share via


Undersöka aviseringar om dataförlustskydd med Microsoft Sentinel

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Innan du börjar

Mer information finns i Undersöka aviseringar om dataförlustskydd med Microsoft Defender XDR.

DLP-undersökningsupplevelse i Microsoft Sentinel

Du kan använda Microsoft Defender XDR-anslutningsappen i Microsoft Sentinel för att importera alla DLP-incidenter till Sentinel för att utöka korrelationen, identifieringen och undersökningen mellan andra datakällor och utöka dina automatiserade orkestreringsflöden med hjälp av Sentinels inbyggda SOAR-funktioner.

  1. Följ anvisningarna i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel för att importera alla incidenter, inklusive DLP-incidenter och aviseringar till Sentinel. Aktivera CloudAppEvents händelseanslutning för att hämta alla Office 365 granskningsloggar till Sentinel.

    Du bör kunna se dina DLP-incidenter i Sentinel när ovanstående anslutningsapp har konfigurerats.

  2. Välj Aviseringar för att visa aviseringssidan.

  3. Du kan använda AlertType, startTime och endTime för att fråga tabellen CloudAppEvents för att hämta alla användaraktiviteter som bidrog till aviseringen. Använd den här frågan för att identifiera de underliggande aktiviteterna:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.