Udostępnij za pośrednictwem

Współpraca z ekspertami na żądanie

  • Artykuł

Dotyczy:

Uwaga

Usługa Ask Defender Experts jest uwzględniona w subskrypcji Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender z alokacjami kwartalnymi.

Wybierz pozycję Zapytaj ekspertów usługi Defender bezpośrednio w portalu zabezpieczeń platformy Microsoft 365, aby uzyskać szybkie i dokładne odpowiedzi na wszystkie pytania dotyczące wyszukiwania zagrożeń. Eksperci mogą dostarczyć szczegółowych informacji, aby lepiej zrozumieć złożone zagrożenia, z którymi może się zmierzyć Twoja organizacja. Zapytaj ekspertów usługi Defender, którzy mogą pomóc:

  • Zbieranie dodatkowych informacji na temat alertów i zdarzeń, w tym głównych przyczyn i zakresu
  • Uzyskaj przejrzystość podejrzanych urządzeń, alertów lub zdarzeń i wykonaj kolejne kroki w przypadku wystąpienia zaawansowanej osoby atakującej
  • Określanie zagrożeń i dostępnych zabezpieczeń związanych z aktorami zagrożeń, kampaniami lub nowymi technikami atakującymi

Zrzut ekranu przedstawiający okno dialogowe Zapytaj ekspertów usługi Defender.

Wymagane uprawnienia do korzystania z funkcji Zapytaj ekspertów usługi Defender

Musisz wybrać jedną z następujących ról Tożsamość Microsoft Entra, aby wyświetlić i przesłać zapytania do naszych ekspertów w usłudze Defender.

rola Tożsamość Microsoft Entra Poziom uprawnień
Czytelnik globalny, Czytelnik zabezpieczeń Odczytywanie zapytań
Administracja globalny, Administracja zabezpieczeń, operator zabezpieczeń Odczytywanie i przesyłanie zapytań

Aby dowiedzieć się więcej o sposobie mapowania ról Tożsamość Microsoft Entra na Microsoft Defender uprawnienia ujednoliconej kontroli dostępu opartej na rolach, zobacz Microsoft Entra Dostęp do ról globalnych.

Microsoft Threat Experts klienci korzystający z funkcji Zapytaj ekspertów w usłudze Defender będą mogli również korzystać z następujących uprawnień z Microsoft Defender XDR Unified RBAC.

rola ujednoliconej kontroli dostępu opartej na rolach Microsoft Defender XDR Poziom uprawnień
Podstawy danych zabezpieczeń Odczyt
Alerty, odpowiedź Odczytywanie i przesyłanie

Gdzie przesłać zapytania do ekspertów usługi Defender

Opcja Zapytaj ekspertów usługi Defender jest dostępna w kilku miejscach w portalu:

  • Menu akcji strony urządzenia:

    Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów usługi Defender w menu akcji Strona urządzenia w portalu Microsoft Defender.

  • Menu wysuwane strony spisu urządzeń:

    Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów usługi Defender w menu wysuwanym na stronie Spis urządzeń w portalu Microsoft Defender.

  • Menu wysuwane strony alertów:

    Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów usługi Defender w menu wysuwnym strony Alerty w portalu Microsoft Defender.

  • Menu akcji strony zdarzeń:

    Zrzut ekranu przedstawiający opcję menu Zapytaj ekspertów w usłudze Defender w menu Akcje strony Zdarzenia w portalu Microsoft Defender.

Gdzie wyświetlić odpowiedzi ekspertów usługi Defender

W portalu

Odpowiedzi na zapytania przesłane do ekspertów w usłudze Defender można wyświetlić nawet sześć miesięcy temu, przechodząc do komunikatów Raporty>ekspertów usługi Defender. Możesz również zadawać kolejne pytania lub odpowiadać na więcej informacji ekspertom usługi Defender z tej strony.

Zrzut ekranu przedstawiający odpowiedź zarządzaną w portalu.

Poczta e-mail

Jeśli podczas przesyłania zapytania uwzględniono kontaktowe adresy e-mail, otrzyma ono powiadomienie e-mail po wysłaniu odpowiedzi od ekspertów usługi Defender.

Zrzut ekranu przedstawiający zarządzane odpowiedzi na podstawie poczty e-mail.

Przykładowe pytania, które można zadać ekspertom usługi Defender

Informacje o alertach

  • Widzieliśmy nowy rodzaj alertu dla living-off-the-land binarnych. Możemy podać identyfikator alertu. Czy możesz powiedzieć nam więcej na temat tego alertu i czy jest on związany z jakimkolwiek incydentem i jak możemy go dokładniej zbadać?
  • Zaobserwowaliśmy dwa podobne ataki, które próbują wykonać złośliwe skrypty programu PowerShell, ale generują różne alerty. Jednym z nich jest "Podejrzany wiersz polecenia programu PowerShell", a drugi to "Wykryto złośliwy plik na podstawie wskazania dostarczonego przez Office 365". Jaka jest różnica?
  • Dzisiaj otrzymaliśmy nietypowy alert o nietypowej liczbie nieudanych logowań z urządzenia użytkownika o wysokim profilu. Nie możemy znaleźć żadnych dalszych dowodów na te próby. Jak Microsoft Defender XDR zobaczyć te próby? Jakiego typu logowania są monitorowane?
  • Czy możesz podać więcej kontekstu lub szczegółowych informacji na temat alertu i wszelkich powiązanych zdarzeń: "Zaobserwowano podejrzane zachowanie narzędzia systemowego"?
  • Zaobserwowano alert o nazwie "Tworzenie reguły przekazywania/przekierowania". Uważam, że działalność jest łagodna. Czy możesz mi powiedzieć, dlaczego otrzymałem alert?

Możliwe naruszenie zabezpieczeń urządzenia

  • Czy możesz pomóc wyjaśnić, dlaczego na wielu urządzeniach w naszej organizacji jest wyświetlany komunikat lub alert dotyczący "zaobserwowanego nieznanego procesu"? Doceniamy wszelkie dane wejściowe, aby wyjaśnić, czy ten komunikat lub alert jest związany ze złośliwą aktywnością lub zdarzeniami.
  • Czy możesz pomóc w zweryfikowaniu możliwego kompromisu w następującym systemie, pochodzącym z zeszłego tygodnia? Działa podobnie jak poprzednie wykrywanie złośliwego oprogramowania w tym samym systemie sześć miesięcy temu.

Szczegóły analizy zagrożeń

  • Wykryliśmy wiadomość e-mail wyłudzającą informacje, która dostarczyła użytkownikowi złośliwy dokument Word. Dokument spowodował serię podejrzanych zdarzeń, które wyzwoliły wiele alertów dla określonej rodziny złośliwego oprogramowania. Czy masz jakieś informacje na temat tego złośliwego oprogramowania? Jeśli tak, czy możesz wysłać nam link?
  • Niedawno zobaczyliśmy wpis w blogu o zagrożeniu, które jest skierowane do naszej branży. Czy możesz pomóc nam zrozumieć, jaką ochronę zapewnia Microsoft Defender XDR przed tym aktorem zagrożeń?
  • Ostatnio zaobserwowaliśmy kampanię wyłudzania informacji prowadzoną przeciwko naszej organizacji. Czy możesz nam powiedzieć, czy było to skierowane specjalnie do naszej firmy, czy do pionu?

Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender komunikacji alertów

  • Czy twój zespół reagowania na zdarzenia może pomóc nam rozwiązać otrzymane powiadomienie ekspertów w usłudze Defender?
  • Otrzymaliśmy to powiadomienie ekspertów usługi Defender od Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender. Nie mamy własnego zespołu reagowania na zdarzenia. Co możemy teraz zrobić i jak możemy powstrzymać zdarzenie?
  • Otrzymaliśmy powiadomienie ekspertów usługi Defender od Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Microsoft Defender. Jakie dane można nam podać, które możemy przekazać naszemu zespołowi reagowania na zdarzenia?

Usługi, które nie są w zakresie dla ekspertów usługi Defender

Usługa Ask Defender Experts koncentruje się na produktach uwzględnionych tylko w Microsoft Defender XDR, czyli Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla pakietu Office, Microsoft Defender for Cloud Apps i Microsoft Defender for Identity.

Usługa nie obejmuje następujących scenariuszy:

  • Zapytania związane z wykrywaniem niestandardowym — zapytania związane z wykrywaniem niestandardowym w powyższych produktach nie mogą być obsługiwane w temacie Zapytaj ekspertów w usłudze Defender, ponieważ nasi eksperci zazwyczaj nie mają dostępu do takich danych telemetrycznych ani wglądu w sposób konfigurowania tych zasad niestandardowych. Przykłady takich zasad obejmują:

    • Alerty ze źródłem = zasadZwyczaj
    • Źródło = wykrywaniaNiestandardowy identyfikator TI
    • Tytuł alertu = Wskaźnik anomalii
    • Rodzina = zagrożeńTylko niestandardowy blok przedsiębiorstwa

  • Zapytania dotyczące produktów innych niż Microsoft Defender XDR — eksperci usługi Defender nie obsługują zapytań dotyczących produktów innych niż Defender XDR, takich jak Microsoft Defender for Cloud, Microsoft Defender for IoT, Microsoft Sentinel, Microsoft Purview, Microsoft Priva i inne produkty do cyberbezpieczeństwa innych firm.

  • Zapytania dotyczące usterek — eksperci usługi Defender nie obsługują zapytań dotyczących usterek w środowisku produktu w portalu Defender XDR, takich jak brakujące dane na stronie alertu lub zdarzenia lub zalecana akcja, która nie została ukończona podczas jego działania. Możesz skontaktować się z pomoc techniczna firmy Microsoft za pośrednictwem Services Hub w związku z takimi problemami.

  • Zapytania związane z problemami z reagowaniem na zdarzenia związane z zabezpieczeniami — zapytaj ekspertów usługi Defender nie jest usługą reagowania na zdarzenia związane z zabezpieczeniami. Jego celem jest lepsze zrozumienie złożonych zagrożeń wpływających na organizację. Engage z własnym zespołem reagowania na zdarzenia zabezpieczeń, aby rozwiązać pilne problemy z reagowaniem na zdarzenia związane z zabezpieczeniami. Jeśli nie masz własnego zespołu reagowania na zdarzenia dotyczące zabezpieczeń i chcesz uzyskać pomoc firmy Microsoft, utwórz wniosek o pomoc techniczną w Centrum usług Premier Services Hub.

Następny krok

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.