Share via


Microsoft Sentinel ile veri kaybı önleme uyarılarını araştırma

Şunlar için geçerlidir:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Başlamadan önce

Daha fazla ayrıntı için bkz. Microsoft Defender XDR ile veri kaybı önleme uyarılarını araştırma.

Microsoft Sentinel'de DLP araştırma deneyimi

Bağıntınızı, algılamanızı ve araştırmanızı diğer veri kaynakları arasında genişletmek ve Sentinel'in yerel SOAR özelliklerini kullanarak otomatik düzenleme akışlarınızı genişletmek üzere tüm DLP olaylarını Sentinel'e aktarmak için Microsoft Sentinel'deki Microsoft Defender XDR bağlayıcısını kullanabilirsiniz.

  1. DLP olayları ve uyarıları da dahil olmak üzere tüm olayları Sentinel'e aktarmak için verileri Microsoft Defender XDR'den Microsoft Sentinel'e bağlama yönergelerini izleyin. Olay bağlayıcısını tüm Office 365 denetim günlüklerini Sentinel'e çekmek için etkinleştirinCloudAppEvents.

    Yukarıdaki bağlayıcı ayarlandıktan sonra DLP olaylarınızı Sentinel'de görebilmeniz gerekir.

  2. Uyarı sayfasını görüntülemek için Uyarılar'ı seçin.

  3. Uyarıya katkıda bulunan tüm kullanıcı etkinliklerini almak için CloudAppEvents tablosunu sorgulamak için AlertType, startTime ve endTime kullanabilirsiniz. Temel alınan etkinlikleri tanımlamak için bu sorguyu kullanın:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.