Delen via

Samenwerken met experts op aanvraag

  • Artikel

Van toepassing op:

Opmerking

Vraag Defender Experts is opgenomen in uw Defender-experts voor opsporing-abonnement met driemaandelijkse toewijzingen.

Selecteer Defender-experts rechtstreeks in de Microsoft 365-beveiligingsportal vragen om snel en nauwkeurig antwoord te krijgen op al uw vragen over het opsporen van bedreigingen. Experts kunnen inzicht bieden om meer inzicht te krijgen in de complexe bedreigingen die uw organisatie kan tegenkomen. Vraag defender-experts om u te helpen bij het volgende:

  • Verzamel aanvullende informatie over waarschuwingen en incidenten, waaronder hoofdoorzaken en bereik
  • Krijg inzicht in verdachte apparaten, waarschuwingen of incidenten en voer de volgende stappen uit als u te maken krijgt met een geavanceerde aanvaller
  • Risico's en beschikbare beveiligingen bepalen met betrekking tot bedreigingsactoren, campagnes of opkomende aanvallertechnieken

Schermopname van het dialoogvenster Defender-experts vragen.

Vereiste machtigingen voor het gebruik van Ask Defender Experts

U moet een van de volgende Microsoft Entra ID rollen selecteren om vragen te bekijken en in te dienen bij onze Defender-experts.

Microsoft Entra ID rol Machtigingsniveau
Globale lezer, Beveiligingslezer Leesvragen
Global Beheer, Security Beheer, Security Operator Vragen lezen en verzenden

Zie Microsoft Entra Globale rollentoegang voor meer informatie over hoe Microsoft Entra ID rollen worden toegewezen aan Microsoft Defender Unified RBAC-machtigingen.

Microsoft Threat Experts klanten die de mogelijkheid van Ask Defender Experts gebruiken, kunnen ook de volgende machtigingen van Microsoft Defender XDR Unified RBAC gebruiken.

Microsoft Defender XDR Unified RBAC-rol Machtigingsniveau
Basisprincipes van beveiligingsgegevens Lezen
Waarschuwingen, antwoord Lezen en verzenden

Waar kunt u vragen indienen bij Defender-experts

De optie Defender-experts vragen is beschikbaar op verschillende plaatsen in de portal:

  • Menu Apparaatpaginaacties:

    Schermopname van de menuoptie Defender Experts vragen in het actiemenu Apparaatpagina in de Microsoft Defender portal.

  • Flyoutmenu van apparaatinventarisatiepagina:

    Schermopname van de menuoptie Ask Defender Experts in het flyoutmenu van de pagina Apparaatinventarisatie in de Microsoft Defender portal.

  • Flyoutmenu waarschuwingenpagina:

    Schermopname van de menuoptie Defender Experts vragen in het flyoutmenu van de pagina Waarschuwingen in de Microsoft Defender portal.

  • Menu Voor paginaacties voor incidenten:

    Schermopname van de menuoptie Defender-experts vragen in het menu Acties van de pagina Incidenten in de Microsoft Defender-portal.

Antwoorden van Defender-experts weergeven

In portal

U kunt antwoorden bekijken op vragen die tot zes maanden geleden zijn ingediend bij Defender-experts door te navigeren naar Rapportendefender-experts-berichten>. U kunt vanaf deze pagina ook vervolgvragen stellen of antwoorden met meer informatie aan Defender-experts.

Schermopname van beheerd antwoord in de portal.

E-mail

Als u e-mailadressen van contactpersonen hebt opgenomen bij het indienen van uw aanvraag, ontvangen ze een e-mailmelding wanneer een antwoord van Defender Experts wordt geplaatst.

Schermopname van beheerd antwoord op basis van e-mail.

Voorbeeldvragen die u kunt stellen van Defender-experts

Waarschuwingsinformatie

  • We hebben een nieuw type waarschuwing gezien voor een binair bestand buiten het land. We kunnen de waarschuwings-id opgeven. Kunt u ons meer vertellen over deze waarschuwing en of deze betrekking heeft op een incident en hoe we deze verder kunnen onderzoeken?
  • We hebben twee vergelijkbare aanvallen waargenomen, die beide proberen schadelijke PowerShell-scripts uit te voeren, maar verschillende waarschuwingen genereren. De ene is 'Verdachte PowerShell-opdrachtregel' en de andere is 'Er is een schadelijk bestand gedetecteerd op basis van een indicatie van Office 365'. Wat is het verschil?
  • We hebben vandaag een vreemde waarschuwing ontvangen over een abnormaal aantal mislukte aanmeldingen van het apparaat van een gebruiker met een hoog profiel. We kunnen geen verder bewijs vinden voor deze pogingen. Hoe kunt Microsoft Defender XDR deze pogingen zien? Welk type aanmeldingen worden bewaakt?
  • Kunt u meer context of inzicht geven over de waarschuwing en eventuele gerelateerde incidenten, 'Verdacht gedrag door een systeemhulpprogramma is waargenomen'?
  • Ik heb een waarschuwing waargenomen met de titel 'Doorstuur-/omleidingsregel maken'. Ik denk dat de activiteit goedaardig is. Kun je me vertellen waarom ik een waarschuwing heb ontvangen?

Mogelijke apparaatinbreuk

  • Kunt u uitleggen waarom er een bericht of waarschuwing wordt weergegeven voor 'Onbekend proces waargenomen' op veel apparaten in onze organisatie? We stellen alle invoer op prijs om te verduidelijken of dit bericht of deze waarschuwing betrekking heeft op schadelijke activiteiten of incidenten.
  • Kunt u helpen bij het valideren van een mogelijke inbreuk op het volgende systeem, daterend van vorige week? Het gedraagt zich op dezelfde manier als een eerdere malwaredetectie op hetzelfde systeem zes maanden geleden.

Details van bedreigingsinformatie

  • Er is een phishing-e-mail gedetecteerd die een schadelijk Word document aan een gebruiker heeft bezorgd. Het document heeft een reeks verdachte gebeurtenissen veroorzaakt, waardoor meerdere waarschuwingen voor een bepaalde malwarefamilie zijn geactiveerd. Hebt u informatie over deze malware? Zo ja, kunt u ons een koppeling sturen?
  • We hebben onlangs een blogbericht gezien over een bedreiging die gericht is op onze branche. Kunt u ons helpen begrijpen welke bescherming Microsoft Defender XDR biedt tegen deze bedreigingsacteur?
  • We hebben onlangs een phishingcampagne tegen onze organisatie gezien. Kunt u ons vertellen of dit specifiek is gericht op ons bedrijf of verticaal?

Microsoft Defender-experts voor opsporing waarschuwingscommunicatie

  • Kan uw incidentresponsteam ons helpen bij het oplossen van de melding van Defender-experts die we hebben ontvangen?
  • We hebben deze defender-expertsmelding ontvangen van Microsoft Defender-experts voor opsporing. We hebben geen eigen incidentresponsteam. Wat kunnen we nu doen en hoe kunnen we het incident indammen?
  • We hebben een defender-expertsmelding ontvangen van Microsoft Defender-experts voor opsporing. Welke gegevens kunt u ons verstrekken die we kunnen doorgeven aan ons incidentresponsteam?

Services die niet binnen het bereik van Defender-experts vallen

Ask Defender Experts is gericht op producten die alleen zijn opgenomen in Microsoft Defender XDR, dat wil zeggen, Microsoft Defender voor Eindpunt, Microsoft Defender voor Office, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity.

De service heeft geen betrekking op de volgende scenario's:

  • Vragen met betrekking tot aangepaste detecties: vragen met betrekking tot aangepaste detecties in de bovenstaande producten kunnen niet worden verwerkt in Ask Defender Experts omdat onze experts doorgaans geen toegang hebben tot dergelijke telemetrie of inzicht hebben in hoe deze aangepaste beleidsregels zijn ingesteld. Voorbeelden van dergelijke beleidsregels zijn:

    • Waarschuwingen met beleidsbron = Gewoonte
    • Detectiebron = Aangepaste TI
    • Waarschuwingstitel = Anomalie-indicator
    • Bedreigingsfamilie = Alleen aangepast ondernemingsblok

  • Vragen met betrekking tot niet-Microsoft Defender XDR producten- Defender Experts behandelen geen vragen over niet-Defender XDR producten zoals Microsoft Defender voor cloud, Microsoft Defender voor IoT Microsoft Sentinel, Microsoft Purview, Microsoft Priva en andere cyberbeveiligingsproducten van derden.

  • Vragen met betrekking tot bugs: Defender-experts behandelen geen vragen over fouten in uw productervaring in de Defender XDR-portal, zoals ontbrekende gegevens op de waarschuwings- of incidentpagina of een aanbevolen actie die niet wordt voltooid wanneer u actie uitvoert. U kunt contact opnemen met Microsoft Ondersteuning via de Services Hub met betrekking tot dergelijke problemen.

  • Vragen met betrekking tot problemen met het reageren op beveiligingsincidenten- Vraag defender-experts is geen service voor het reageren op beveiligingsincidenten. Het is bedoeld om meer inzicht te krijgen in complexe bedreigingen die van invloed zijn op uw organisatie. Engage met uw eigen reactieteam voor beveiligingsincidenten om urgente problemen met het reageren op beveiligingsincidenten op te lossen. Als u geen eigen reactieteam voor beveiligingsincidenten hebt en hulp van Microsoft wilt, maakt u een ondersteuningsaanvraag in de Premier Services Hub.

Volgende stap

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.