使用 Microsoft Sentinel 调查数据丢失防护警报

适用于：

• Microsoft Defender XDR
• Microsoft Sentinel

准备工作

有关更多详细信息，请参阅使用Microsoft Defender XDR调查数据丢失防护警报。

Microsoft Sentinel 中的 DLP 调查体验

可以使用 Microsoft Sentinel 中的 Microsoft Defender XDR 连接器将所有 DLP 事件导入 Sentinel，以跨其他数据源扩展关联、检测和调查，并使用 Sentinel 的本机 SOAR 功能扩展自动化业务流程流。

1. 按照将数据从 Microsoft Defender XDR 连接到 Microsoft Sentinel 的说明，将所有事件（包括 DLP 事件和警报）导入 Sentinel。 启用CloudAppEvents事件连接器将所有Office 365审核日志拉取到 Sentinel 中。

   设置上述连接器后，你应该能够在 Sentinel 中看到 DLP 事件。

2. 选择“ 警报 ”以查看警报页。

3. 可以使用 AlertType、 startTime 和 endTime 查询 CloudAppEvents 表，以获取参与警报的所有用户活动。 使用此查询标识基础活动：

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

相关文章

• 事件概述
• 确定事件优先级
• 管理事件

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。