使用 Microsoft Sentinel 調查資料外泄防護警示

適用於：

• Microsoft Defender XDR
• Microsoft Sentinel

開始之前

如需詳細資訊，請參閱使用 Microsoft Defender 全面偵測回應 調查數據外洩防護警示。

Microsoft Sentinel 中的 DLP 調查體驗

您可以使用 Microsoft Sentinel 中的 Microsoft Defender 全面偵測回應 連接器，將所有 DLP 事件匯入 Sentinel，以跨其他數據源擴充您的相互關聯、偵測和調查，並使用 Sentinel 的原生 SOAR 功能擴充自動化協調流程。

1. 請遵循將數據從 Microsoft Defender 全面偵測回應 連線到 Microsoft Sentinel 的指示，將包括 DLP 事件和警示在內的所有事件匯入 Sentinel。 啟用CloudAppEvents事件連接器，將所有 Office 365 稽核記錄提取到 Sentinel。

   設定上述連接器之後，您應該能夠在 Sentinel 中看到您的 DLP 事件。

2. 選 取 [警示] 以檢視警示頁面。

3. 您可以使用 AlertType、 startTime 和 endTime 來查詢 CloudAppEvents 數據表，以取得所有參與警示的用戶活動。 使用此查詢來識別基礎活動：

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

相關文章

• 事件概觀
• 設定事件優先順序
• 管理事件

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。