次の方法で共有

必要に応じて専門家と共同作業する

  • [アーティクル]

適用対象:

注:

Ask Defender Experts は、四半期ごとに割り当てられたDefender エキスパートによる追求 サブスクリプションに含まれています。 ただし、セキュリティ インシデント対応サービスではありません。 これは、organizationに影響を与える複雑な脅威をより深く理解することを目的としています。 緊急のセキュリティ インシデント対応の問題に対処するために、独自のセキュリティ インシデント対応チームとEngageします。 独自のセキュリティ インシデント対応チームがなく、Microsoft のサポートを希望する場合は、 Premier Services Hub でサポート リクエストを作成します。

[Microsoft 365 セキュリティ ポータル内で Defender エキスパート に直接質問する] を選択して、すべての脅威ハンティングの質問に対して迅速かつ正確な回答を得ることができます。 エキスパートは、organizationが直面する可能性がある複雑な脅威をより深く理解するための分析情報を提供できます。 Defender エキスパートに質問すると、次のことができます。

  • 根本原因やスコープなど、アラートとインシデントに関する追加情報を収集する
  • 不審なデバイス、アラート、インシデントを明確にし、高度な攻撃者に直面した場合は次の手順を実行します
  • 脅威アクター、キャンペーン、または新たな攻撃者手法に関連するリスクと使用可能な保護を決定する

[Defender エキスパートに質問する] ダイアログ ボックスのスクリーンショット。

Ask Defender Experts を使用するために必要なアクセス許可

Defender エキスパートに問い合わせを表示して送信するには、次のいずれかのMicrosoft Entra IDロールを選択する必要があります。

Microsoft Entra IDロール 権限レベル
グローバル リーダー、セキュリティ リーダー お問い合わせを読む
グローバル 管理、セキュリティ 管理、セキュリティ オペレーター お問い合わせの読み取りと送信

Microsoft Entra IDロールを統合 RBAC アクセス許可にマップする方法の詳細については、「グローバル ロールアクセス Microsoft Defender Microsoft Entra」を参照してください。

Ask Defender Experts 機能を使用しているお客様Microsoft 脅威エキスパート、統合 RBAC から次のアクセス許可Microsoft Defender XDR使用することもできます。

統合 RBAC ロールのMicrosoft Defender XDR 権限レベル
セキュリティ データの基本 読み取り
アラート、応答 読み取りと送信

Defender エキスパートに問い合わせ先

Defender エキスパートに質問するオプションは、ポータル全体のいくつかの場所で利用できます。

  • [デバイス ページアクション] メニュー:

    Microsoft Defender ポータルの [デバイス] ページ アクション メニューの [Defender Experts に問い合わせ] メニュー オプションのスクリーンショット。

  • [デバイス インベントリ] ページのポップアップ メニュー:

    Microsoft Defender ポータルの [デバイス インベントリ] ページのポップアップ メニューの [Defender エキスパートに質問する] メニュー オプションのスクリーンショット。

  • [アラート] ページのポップアップ メニュー:

    Microsoft Defender ポータルの [アラート] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。

  • [インシデント] ページアクション メニュー:

    Microsoft Defender ポータルの [インシデント] ページの [アクション] メニューの [Defender エキスパートに質問する] メニュー オプションのスクリーンショット。

Defender Experts からの応答を表示する場所

ポータルで

最大 6 か月前から Defender Experts に問い合わせに送信された問い合わせに対する回答を表示するには、 レポート>Defender Experts メッセージに移動します。 また、このページから、フォローアップの質問をしたり、Defender Experts に詳細情報を返信したりできます。

ポータル内のマネージド応答のスクリーンショット。

電子メール

お問い合わせの送信時に連絡先のメール アドレスを含めた場合、Defender Experts からの返信が投稿されたときに電子メール通知が届きます。

メール ベースのマネージド応答のスクリーンショット。

注:

Defender エキスパートは、Microsoft Defender XDR ポータルでの製品エクスペリエンスのバグや問題に関する問い合わせを支援することはできません。 お問い合わせに関しては、サービス ハブからMicrosoft サポートまでお問い合わせください。

Defender エキスパートから質問できるサンプルの質問

アラート情報

  • 私たちは、土地外の生活バイナリに対する新しい種類のアラートを見ました。 アラート ID を指定できます。 このアラートの詳細と、それがインシデントに関連するかどうか、さらに調査する方法について教えてください。
  • 同様の 2 つの攻撃が見られ、どちらも悪意のある PowerShell スクリプトを実行しようとしますが、異なるアラートが生成されます。 1 つは "疑わしい PowerShell コマンド ライン" で、もう 1 つは "Office 365によって提供された指示に基づいて悪意のあるファイルが検出されました" です。違いは何ですか?
  • 今日、プロファイルの高いユーザーのデバイスから、失敗したログインの異常な数に関する奇妙なアラートを受け取っています。 これらの試みに対するそれ以上の証拠は見つかりません。 これらの試行Microsoft Defender XDR確認するにはどうすればよいですか? 監視されているログインの種類は何ですか?
  • アラートと関連するインシデントに関するより多くのコンテキストまたは分析情報を提供できますか。"システム ユーティリティによる不審な動作が観察されました"。
  • "転送/リダイレクト ルールの作成" というタイトルのアラートを観察しました。 私は活動が良性であると信じています。 アラートを受け取った理由を教えてください。

デバイスの侵害の可能性

  • organizationの多くのデバイスに "不明なプロセスが観察されました" というメッセージまたはアラートが表示される理由を説明してください。 このメッセージまたはアラートが悪意のあるアクティビティやインシデントに関連しているかどうかを明確にするための入力に感謝します。
  • 次のシステムで、先週からの侵害の可能性を検証するのに役立ちますか? これは、6か月前に同じシステム上で以前のマルウェア検出と同様に動作しています。

脅威インテリジェンスの詳細

  • 悪意のあるWordドキュメントをユーザーに配信するフィッシングメールを検出しました。 このドキュメントによって一連の不審なイベントが発生し、特定のマルウェア ファミリに対して複数のアラートがトリガーされました。 このマルウェアに関する情報はありますか? はいの場合は、リンクをお送りください。
  • 最近、業界をターゲットにしている脅威に関するブログ記事を見ました。 この脅威アクターに対してMicrosoft Defender XDRはどのような保護が提供されるかを理解するのに役立ちますか?
  • 私たちは最近、organizationに対して行われたフィッシングキャンペーンを観察しました。 これは、特に当社または垂直を対象としていたかどうかを教えてください。

アラート通信のMicrosoft Defender エキスパートによる追求

  • インシデント対応チームは、私たちが受け取った Defender エキスパート通知に対処するのに役立ちますか?
  • この Defender Experts 通知は、Microsoft Defender エキスパートによる追求から受け取っています。 独自のインシデント対応チームはありません。 今何ができるか、インシデントをどのように封じ込めることができるでしょうか。
  • Microsoft Defender エキスパートによる追求から Defender Experts 通知を受け取っています。 インシデント対応チームに渡すことができるデータは何ですか?

次の手順

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。