Поделиться через

Исследование оповещений о предотвращении потери данных с помощью Microsoft Sentinel

  • Статья

Область применения:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Перед началом работы

Дополнительные сведения см. в статье Изучение оповещений защиты от потери данных с помощью Microsoft Defender XDR.

Опыт исследования защиты от потери данных в Microsoft Sentinel

Соединитель Microsoft Defender XDR в Microsoft Sentinel можно использовать для импорта всех инцидентов защиты от потери данных в Sentinel, чтобы расширить корреляцию, обнаружение и исследование в других источниках данных и расширить потоки автоматической оркестрации с помощью собственных возможностей SOAR в Sentinel.

  1. Следуйте инструкциям в разделе Подключение данных из Microsoft Defender XDR к Microsoft Sentinel, чтобы импортировать все инциденты, включая инциденты защиты от потери данных и оповещения, в Sentinel. Включите CloudAppEvents соединитель событий для извлечения всех журналов аудита Office 365 в Sentinel.

    После настройки соединителя выше вы сможете увидеть инциденты защиты от потери данных в Sentinel.

  2. Выберите Оповещения , чтобы просмотреть страницу оповещений.

  3. Вы можете использовать AlertType, startTime и EndTime , чтобы запросить таблицу CloudAppEvents , чтобы получить все действия пользователей, которые способствовали оповещению. Используйте этот запрос для определения базовых действий:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.