Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Sentinel
Gilt für:
- Microsoft Defender XDR
- Microsoft Sentinel
Vorbereitende Schritte
Weitere Informationen finden Sie unter Untersuchen von Warnungen zur Verhinderung von Datenverlust mit Microsoft Defender XDR.
DLP-Untersuchungserfahrung in Microsoft Sentinel
Sie können den Microsoft Defender XDR-Connector in Microsoft Sentinel verwenden, um alle DLP-Incidents in Sentinel zu importieren, um Ihre Korrelation, Erkennung und Untersuchung auf andere Datenquellen zu erweitern und Ihre automatisierten Orchestrierungsflüsse mithilfe der nativen SOAR-Funktionen von Sentinel zu erweitern.
Befolgen Sie die Anweisungen unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel, um alle Incidents, einschließlich DLP-Incidents und Warnungen, in Sentinel zu importieren. Aktivieren Sie
CloudAppEventsden Ereignisconnector, um alle Office 365 Überwachungsprotokolle in Sentinel zu pullen.Sie sollten Ihre DLP-Incidents in Sentinel sehen können, nachdem der obige Connector eingerichtet wurde.
Wählen Sie Warnungen aus, um die Warnungsseite anzuzeigen.
Sie können AlertType, startTime und endTime verwenden, um die CloudAppEvents-Tabelle abzufragen, um alle Benutzeraktivitäten abzurufen, die zur Warnung beigetragen haben. Verwenden Sie diese Abfrage, um die zugrunde liegenden Aktivitäten zu identifizieren:
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.