Colaborar com especialistas a pedido
Aplica-se a:
Nota
Pergunte aos Especialistas do Defender que está incluído na sua subscrição Especialistas do Defender para Procura com alocações trimestrais. No entanto, não é um serviço de resposta a incidentes de segurança. Destina-se a fornecer uma melhor compreensão das ameaças complexas que afetam a sua organização. Engage com a sua própria equipa de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se não tiver a sua própria equipa de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie um pedido de suporte no Hub de Serviços Premier.
Selecione Perguntar aos Especialistas do Defender diretamente no portal de segurança do Microsoft 365 para obter respostas rápidas e precisas a todas as suas perguntas de investigação de ameaças. Os especialistas podem fornecer informações para compreender melhor as ameaças complexas que a sua organização pode enfrentar. Pergunte aos Especialistas do Defender que podem ajudar:
- Recolher informações adicionais sobre alertas e incidentes, incluindo as causas e o âmbito
- Obtenha clareza sobre dispositivos, alertas ou incidentes suspeitos e siga os passos seguintes se for confrontado com um atacante avançado
- Determinar riscos e proteções disponíveis relacionadas com atores de ameaças, campanhas ou técnicas de atacantes emergentes
Permissões necessárias para utilizar o Ask Defender Experts
Tem de selecionar uma das seguintes funções Microsoft Entra ID para ver e submeter inquéritos aos nossos especialistas do Defender.
Microsoft Entra ID função | Nível de permissão |
---|---|
Leitor Global, Leitor de Segurança | Ler inquéritos |
Global Administração, Security Administração, Security Operator | Ler e submeter inquéritos |
Para saber mais sobre como Microsoft Entra ID funções são mapeadas para Microsoft Defender permissões RBAC unificadas, veja Microsoft Entra Acesso a funções globais.
Grupo de Peritos em Ameaças da Microsoft clientes que utilizam a capacidade Pergunte aos Especialistas do Defender também poderão utilizar as seguintes permissões do Microsoft Defender XDR RBAC Unificado.
Microsoft Defender XDR função RBAC unificada | Nível de permissão |
---|---|
Noções básicas sobre dados de segurança | Ler |
Alertas, Resposta | Ler e submeter |
Onde submeter inquéritos a Pergunte aos Especialistas do Defender
A opção para Perguntar aos Especialistas do Defender está disponível em vários locais do portal:
Menu de ações da página do dispositivo:
Menu de lista de opções da página de inventário de dispositivos:
Menu de lista de opções da página de alertas:
Menu de ações da página incidentes:
Onde ver respostas de Especialistas do Defender
No portal
Pode ver as respostas a inquéritos submetidos a Pergunte aos Especialistas do Defender de até seis meses atrás ao navegar para mensagens de Relatórios>de Especialistas do Defender. Também poderá fazer perguntas de seguimento ou responder com mais informações aos Especialistas do Defender a partir desta página.
Se incluiu endereços de e-mail de contacto ao submeter a sua consulta, estes receberão uma notificação por e-mail quando for publicada uma resposta dos Especialistas do Defender.
Nota
Os Especialistas em Defender não poderão ajudá-lo com perguntas sobre erros ou problemas na sua experiência de produto no portal do Microsoft Defender XDR. Pode contactar a Suporte da Microsoft através do Hub de Serviços relativamente a tais inquéritos.
Perguntas de exemplo que pode fazer a partir de Especialistas do Defender
Informações do alerta
- Vimos um novo tipo de alerta para um binário que vive fora da terra. Podemos fornecer o ID do alerta. Pode dizer-nos mais sobre este alerta e se está relacionado com qualquer incidente e como podemos investigá-lo mais aprofundadamente?
- Observámos dois ataques semelhantes, que tentam executar scripts maliciosos do PowerShell, mas geram alertas diferentes. Uma é "Linha de comandos suspeita do PowerShell" e a outra é "Foi detetado um ficheiro malicioso com base na indicação fornecida pelo Office 365". Qual é a diferença?
- Recebemos hoje um alerta estranho sobre um número anormal de inícios de sessão falhados a partir do dispositivo de um utilizador de alto perfil. Não conseguimos encontrar mais provas para estas tentativas. Como pode Microsoft Defender XDR ver estas tentativas? Que tipo de inícios de sessão estão a ser monitorizados?
- Pode dar mais contexto ou informações sobre o alerta e quaisquer incidentes relacionados, "Foi observado um comportamento suspeito por um utilitário do sistema"?
- Observei um alerta intitulado "Criação de regra de reencaminhamento/redirecionamento". Acredito que a actividade é benigna. Pode dizer-me por que recebi um alerta?
Possível comprometimento do dispositivo
- Pode ajudar a explicar porque é que vemos uma mensagem ou alerta para "Processo desconhecido observado" em muitos dispositivos na nossa organização? Agradecemos qualquer contributo para esclarecer se esta mensagem ou alerta está relacionado com atividades maliciosas ou incidentes.
- Pode ajudar a validar um possível compromisso no seguinte sistema, datado da semana passada? Está a comportar-se da mesma forma que uma deteção de software maligno anterior no mesmo sistema há seis meses.
Detalhes das informações sobre ameaças
- Detetámos um e-mail de phishing que entregou um documento de Word malicioso a um utilizador. O documento causou uma série de eventos suspeitos, que acionaram vários alertas para uma determinada família de software maligno. Tem alguma informação sobre este software maligno? Se sim, pode enviar-nos uma ligação?
- Vimos recentemente uma publicação de blogue sobre uma ameaça que visa a nossa indústria. Pode ajudar-nos a compreender que proteção Microsoft Defender XDR fornece contra este ator de ameaças?
- Observámos recentemente uma campanha de phishing realizada contra a nossa organização. Pode dizer-nos se foi direcionado especificamente para a nossa empresa ou vertical?
comunicações de alerta de Especialistas do Microsoft Defender para Procura
- A sua equipa de resposta a incidentes pode ajudar-nos a resolver a Notificação de Especialistas em Defender que recebemos?
- Recebemos esta Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Procura. Não temos a nossa própria equipa de resposta a incidentes. O que podemos fazer agora e como podemos conter o incidente?
- Recebemos uma Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Procura. Que dados nos pode fornecer que podemos transmitir à nossa equipa de resposta a incidentes?
Passo seguinte
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.