Condividi tramite

Analizzare gli avvisi di prevenzione della perdita dei dati con Microsoft Sentinel

  • Articolo

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Sentinel

Prima di iniziare

Per altri dettagli, vedere Analizzare gli avvisi di prevenzione della perdita dei dati con Microsoft Defender XDR.

Esperienza di indagine DLP in Microsoft Sentinel

È possibile usare il connettore Microsoft Defender XDR in Microsoft Sentinel per importare tutti gli eventi imprevisti DLP in Sentinel per estendere la correlazione, il rilevamento e l'analisi tra altre origini dati ed estendere i flussi di orchestrazione automatizzati usando le funzionalità soar native di Sentinel.

  1. Seguire le istruzioni su Connettere i dati da Microsoft Defender XDR a Microsoft Sentinel per importare tutti gli eventi imprevisti, inclusi gli eventi imprevisti DLP e gli avvisi in Sentinel. Abilitare CloudAppEvents il connettore eventi per eseguire il pull di tutti i log di controllo Office 365 in Sentinel.

    Dovrebbe essere possibile visualizzare gli eventi imprevisti di prevenzione della perdita dei dati in Sentinel dopo aver configurato il connettore precedente.

  2. Selezionare Avvisi per visualizzare la pagina dell'avviso.

  3. È possibile usare AlertType, startTime e endTime per eseguire query sulla tabella CloudAppEvents per ottenere tutte le attività utente che hanno contribuito all'avviso. Usare questa query per identificare le attività sottostanti:

let Alert = SecurityAlert
| where TimeGenerated > ago(30d)
| where SystemAlertId == ""; // insert the systemAlertID here
CloudAppEvents
| extend correlationId1 = parse_json(tostring(RawEventData.Data)).cid
| extend correlationId = tostring(correlationId1)
| join kind=inner Alert on $left.correlationId == $right.AlertType
| where RawEventData.CreationTime > StartTime and RawEventData.CreationTime < EndTime

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.