Spolupráce s odborníky na vyžádání

Platí pro:

• Microsoft Defender XDR

Poznámka

Ptejte se expertů programu Defender je součástí vašeho předplatného Defender experti na proaktivní vyhledávání se čtvrtletními přiděleními.

Výběrem možnosti Zeptat se expertů programu Defender přímo na portálu zabezpečení Microsoftu 365 získáte rychlé a přesné odpovědi na všechny otázky týkající se proaktivního vyhledávání hrozeb. Odborníci můžou poskytnout přehled, který vám umožní lépe porozumět složitým hrozbám, kterým může vaše organizace čelit. S tím vám můžou pomoct odborníci na Defender:

• Shromáždění dalších informací o výstrahách a incidentech, včetně původních příčin a rozsahu
• Získejte přehled o podezřelých zařízeních, výstrahách nebo incidentech a proveďte další kroky, pokud se setkáte s pokročilým útočníkem.
• Určení rizik a dostupné ochrany související s aktéry hrozeb, kampaněmi nebo nově vznikajícími technikami útočníků

Požadovaná oprávnění pro používání expertů v programu Ask Defender

Musíte vybrat jednu z následujících Microsoft Entra ID rolí, abyste mohli zobrazit a odeslat dotazy našim odborníkům na Defender.

Microsoft Entra ID role	Úroveň oprávnění
Globální čtenář, čtenář zabezpečení	Přečtěte si dotazy
Global Správa, Security Správa, Security Operator	Čtení a odesílání dotazů

Další informace o tom, jak Microsoft Entra ID role mapovat na Microsoft Defender sjednocená oprávnění RBAC, najdete v tématu Microsoft Entra globální přístup k rolím.

Microsoft Threat Experts zákazníci, kteří používají funkci Ask Defender Experts, budou moct také používat následující oprávnění z Microsoft Defender XDR Unified RBAC.

Microsoft Defender XDR sjednocená role RBAC	Úroveň oprávnění
Základy dat zabezpečení	Číst
Upozornění, odpověď	Čtení a odeslání

Kde odesílat dotazy odborníkům z programu Ask Defender

Možnost Zeptat se expertů programu Defender je dostupná na několika místech na portálu:

• Nabídka akcí stránky zařízení:

  

• Kontextová nabídka stránky inventáře zařízení:

  

• Vysouvací nabídka stránky Upozornění:

  

• Nabídka akcí na stránce Incidenty:

  

Kde zobrazit odpovědi od expertů programu Defender

Na portálu

Odpovědi na dotazy odeslané na webu Ptejte se expertů programu Defender můžete zobrazit až před šesti měsíci tak, že přejdete na zprávy Sestavy>expertů programu Defender. Na této stránce můžete také pokládat následné otázky nebo odpovědět s dalšími informacemi odborníkům na Defender.

E-mail

Pokud jste při odesílání dotazu zahrnuli kontaktní e-mailové adresy, dostanou e-mailové oznámení, když se publikuje odpověď od expertů programu Defender.

Ukázkové otázky, na které se můžete ptát od odborníků na Defender

Informace o upozornění

• Viděli jsme nový typ upozornění pro binární soubor living-off-the-land. Můžeme zadat ID upozornění. Můžete nám o tomto upozornění říct více a jestli souvisí s nějakým incidentem a jak ho můžeme dále prošetřit?
• Zaznamenali jsme dva podobné útoky, které se snaží spustit škodlivé skripty PowerShellu, ale generují různé výstrahy. První z nich je "Podezřelý příkazový řádek PowerShellu" a druhý je "Byl zjištěn škodlivý soubor na základě indikace poskytnuté Office 365". Jaký je rozdíl?
• Dnes jsme obdrželi liché upozornění na neobvyklý počet neúspěšných přihlášení ze zařízení uživatele s vysokým profilem. Nemůžeme najít žádné další důkazy pro tyto pokusy. Jak Microsoft Defender XDR tyto pokusy zobrazit? Jaký typ přihlášení se monitoruje?
• Můžete poskytnout další kontext nebo přehled o upozornění a souvisejících incidentech s informací o podezřelém chování systémového nástroje?
• Všiml(a) jsem si upozornění s názvem Vytvoření pravidla přesměrování/přesměrování. Věřím, že tato aktivita je neškodná. Můžete mi říct, proč mi přišlo upozornění?

Možné ohrožení zabezpečení zařízení

• Můžete nám pomoct vysvětlit, proč se na mnoha zařízeních v naší organizaci zobrazuje zpráva nebo upozornění týkající se neznámého procesu? Vážíme si každého podnětu, abychom objasnili, jestli tato zpráva nebo upozornění souvisí se škodlivou aktivitou nebo incidenty.
• Můžete pomoct ověřit možné ohrožení zabezpečení v následujícím systému z minulého týdne? Chová se podobně jako předchozí detekce malwaru ve stejném systému před šesti měsíci.

Podrobnosti analýzy hrozeb

• Zjistili jsme phishingový e-mail, který uživateli doručil škodlivý Word dokument. Dokument způsobil řadu podezřelých událostí, které aktivovaly několik výstrah pro konkrétní rodinu malwaru. Máte nějaké informace o tomto malwaru? Pokud ano, můžete nám poslat odkaz?
• Nedávno jsme viděli blogový příspěvek o hrozbě, která cílí na naše odvětví. Můžete nám pomoct pochopit, jakou ochranu Microsoft Defender XDR poskytují proti tomuto aktérii hrozeb?
• Nedávno jsme zaznamenali phishingovou kampaň prováděnou proti naší organizaci. Můžete nám říct, jestli se to týká konkrétně naší společnosti, nebo vertikálního?

Microsoft Defender experti na proaktivní vyhledávání upozornění

• Může nám váš tým pro reakce na incidenty pomoct vyřešit oznámení expertů programu Defender, které jsme dostali?
• Od Microsoft Defender experti na proaktivní vyhledávání jsme obdrželi toto oznámení o programu Defender Experts. Nemáme vlastní tým pro reakce na incidenty. Co můžeme dělat teď a jak můžeme incident zadržet?
• Od Microsoft Defender experti na proaktivní vyhledávání jsme obdrželi oznámení o programu Defender Experts. Jaká data nám můžete poskytnout, která můžeme předat našemu týmu reakce na incidenty?

Služby, které nejsou v rozsahu pro odborníky na Defender

Ptejte se expertů programu Defender se zaměřuje na produkty, které jsou součástí Microsoft Defender XDR, tedy Microsoft Defender for Endpoint, Microsoft Defender pro Office. Microsoft Defender for Cloud Apps a Microsoft Defender for Identity.

Služba nepokrývá následující scénáře:

• Dotazy související s vlastními detekcemi – Dotazy související s vlastními detekcemi ve výše uvedených produktech není možné zpracovat v nástroji Ask Defender Experts, protože naši odborníci obvykle nemají přístup k takové telemetrii nebo nemají přehled o tom, jak byly tyto vlastní zásady nastaveny. Příklady takových zásad:

  • Upozornění se zdrojem = zásadZvyk
  • Zdroj = detekceVlastní TI
  • Název = upozorněníIndikátor anomálie
  • Rodina = hrozebPouze vlastní blok organizace

• Dotazy týkající se jiných než Microsoft Defender XDR produktů – Odborníci na Defender neřeší dotazy týkající se jiných než Defender XDR produktů, jako jsou Microsoft Defender pro cloud, Microsoft Defender pro IoT, Microsoft Sentinel, Microsoft Purview, Microsoft Priva a další produkty pro kybernetickou bezpečnost třetích stran.

• Dotazy týkající se chyb – Odborníci defenderu neřeší dotazy týkající se chyb v produktových zkušenostech na portálu Defender XDR, například chybějící data na stránce upozornění nebo incidentu nebo nedokončí doporučenou akci, když ji provedete. Pokud jde o tyto problémy, můžete se obrátit na podpora Microsoftu prostřednictvím centra služeb.

• Dotazy související s reakcemi na incidenty zabezpečení – Ptejte se expertů v programu Defender není služba reakce na incidenty zabezpečení. Jejím cílem je lépe porozumět složitým hrozbám, které ovlivňují vaši organizaci. Engage s vlastním týmem pro reakce na incidenty zabezpečení a řešit naléhavé problémy s reakcemi na incidenty zabezpečení. Pokud nemáte vlastní tým pro reakce na incidenty zabezpečení a chcete pomoc od Microsoftu, vytvořte žádost o podporu ve službě Premier Services Hub.

Další krok

• Vysvětlení Defender experti na proaktivní vyhledávání sestavy v Microsoft Defender XDR

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.