Examiner les alertes de protection contre la perte de données avec Microsoft Sentinel
S’applique à :
- Microsoft Defender XDR
- Microsoft Sentinel
Avant de commencer
Pour plus d’informations, consultez Examiner les alertes de protection contre la perte de données avec Microsoft Defender XDR.
Expérience d’investigation DLP dans Microsoft Sentinel
Vous pouvez utiliser le connecteur Microsoft Defender XDR dans Microsoft Sentinel pour importer tous les incidents DLP dans Sentinel afin d’étendre votre corrélation, détection et investigation sur d’autres sources de données et d’étendre vos flux d’orchestration automatisés à l’aide des fonctionnalités SOAR natives de Sentinel.
Suivez les instructions sur Connecter des données de Microsoft Defender XDR à Microsoft Sentinel pour importer tous les incidents, y compris les alertes et incidents DLP dans Sentinel. Activez le
CloudAppEventsconnecteur d’événements pour extraire tous les journaux d’audit Office 365 dans Sentinel.Vous devriez pouvoir voir vos incidents DLP dans Sentinel une fois le connecteur ci-dessus configuré.
Sélectionnez Alertes pour afficher la page d’alerte.
Vous pouvez utiliser AlertType, startTime et endTime pour interroger la table CloudAppEvents afin d’obtenir toutes les activités utilisateur qui ont contribué à l’alerte. Utilisez cette requête pour identifier les activités sous-jacentes :
let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime
Articles connexes
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.