Undersöka aviseringar om dataförlustskydd med Microsoft Sentinel
Gäller för:
- Microsoft Defender XDR
- Microsoft Sentinel
Innan du börjar
Mer information finns i Undersöka aviseringar om dataförlustskydd med Microsoft Defender XDR.
DLP-undersökningsupplevelse i Microsoft Sentinel
Du kan använda Microsoft Defender XDR-anslutningsappen i Microsoft Sentinel för att importera alla DLP-incidenter till Sentinel för att utöka korrelationen, identifieringen och undersökningen mellan andra datakällor och utöka dina automatiserade orkestreringsflöden med hjälp av Sentinels inbyggda SOAR-funktioner.
Följ anvisningarna i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel för att importera alla incidenter, inklusive DLP-incidenter och aviseringar till Sentinel. Aktivera
CloudAppEvents
händelseanslutning för att hämta alla Office 365 granskningsloggar till Sentinel.Du bör kunna se dina DLP-incidenter i Sentinel när ovanstående anslutningsapp har konfigurerats.
Välj Aviseringar för att visa aviseringssidan.
Du kan använda AlertType, startTime och endTime för att fråga tabellen CloudAppEvents för att hämta alla användaraktiviteter som bidrog till aviseringen. Använd den här frågan för att identifiera de underliggande aktiviteterna:
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för