Совместная работа с экспертами по запросу
Область применения:
Примечание.
Запрос экспертов Defender включен в подписку Эксперты Defender по охоте на угрозы с ежеквартально выделенными ассигнованиями.
Выберите Задать вопросы экспертам Defender непосредственно на портале безопасности Microsoft 365, чтобы получить быстрые и точные ответы на все вопросы по поиску угроз. Эксперты могут предоставить аналитические сведения, чтобы лучше понять сложные угрозы, с которыми может столкнуться ваша организация. Попросите экспертов Defender помочь:
- Соберите дополнительные сведения об оповещениях и инцидентах, включая первопричины и область
- Получите ясность в подозрительных устройствах, оповещениях или инцидентах и выполните дальнейшие действия при столкновении с продвинутым злоумышленником
- Определение рисков и доступных средств защиты, связанных с субъектами угроз, кампаниями или новыми методами злоумышленников
Необходимые разрешения для использования экспертов Ask Defender
Для просмотра и отправки запросов нашим экспертам в Defender необходимо выбрать одну из следующих ролей Microsoft Entra ID.
| роль Microsoft Entra ID | Уровень разрешений. |
|---|---|
| Global Reader, Security Reader | Чтение запросов |
| Глобальная Администратор, Администратор безопасности, оператор безопасности | Чтение и отправка запросов |
Дополнительные сведения о сопоставлении ролей Microsoft Entra ID с Microsoft Defender разрешениями единого RBAC см. в статье доступ к глобальным ролям Microsoft Entra.
эксперты Майкрософт по угрозам клиенты, использующие функцию Ask Defender Experts, также смогут использовать следующие разрешения из Microsoft Defender XDR Unified RBAC.
| Microsoft Defender XDR роль единого RBAC | Уровень разрешений. |
|---|---|
| Основы безопасности данных | Чтение |
| Оповещения, ответ | Чтение и отправка |
Куда отправлять запросы экспертам Defender
Возможность спросить экспертов Defender доступна в нескольких местах на портале:
Меню действий страницы устройства:
Всплывающее меню страницы инвентаризации устройств:
Всплывающее меню страницы оповещений:
Меню действий страницы инцидентов:
Где просматривать ответы от экспертов Defender
На портале
Вы можете просмотреть ответы на запросы, отправленные экспертам Ask Defender от шести месяцев назад, перейдя к сообщениям экспертов>Defender. Вы также можете задать дополнительные вопросы или ответить экспертам Defender с этой страницы.
Электронная почта
Если вы включили контактные адреса электронной почты при отправке запроса, они получат уведомление по электронной почте при публикации ответа от экспертов Defender.
Примеры вопросов, которые можно задать у экспертов Defender
Сведения об оповещении
- Мы видели новый тип оповещений для двоичного типа живых вне земли. Мы можем указать идентификатор оповещения. Можете ли вы рассказать нам больше об этом оповещении и о том, связано ли оно с каким-либо инцидентом и как мы можем его исследовать дальше?
- Мы наблюдали две похожие атаки, которые пытаются выполнить вредоносные скрипты PowerShell, но создают разные оповещения. Один из них — "Подозрительная командная строка PowerShell", а второй — "Вредоносный файл был обнаружен на основе указания, предоставленного Office 365". В чем разница?
- Сегодня мы получили нечетное оповещение о ненормальном количестве неудачных попыток входа с устройства высокопрофильного пользователя. Мы не можем найти никаких дополнительных доказательств для этих попыток. Как Microsoft Defender XDR увидеть эти попытки? Какие типы имен входа отслеживаются?
- Можете ли вы предоставить дополнительный контекст или аналитические сведения об оповещении и любых связанных инцидентах с сообщением "Обнаружено подозрительное поведение системной служебной программы"?
- Я обнаружил оповещение под названием "Создание правила переадресации и перенаправления". Я считаю, что деятельность является доброкачественной. Можете ли вы рассказать мне, почему я получил оповещение?
Возможная компрометация устройства
- Вы можете объяснить, почему на многих устройствах в нашей организации отображается сообщение или оповещение о неизвестном процессе? Мы ценим любые вводимые данные, чтобы уточнить, связано ли это сообщение или оповещение с вредоносными действиями или инцидентами.
- Можете ли вы помочь проверить возможный компромисс в следующей системе, начиная с прошлой недели? Он ведет себя так же, как и предыдущее обнаружение вредоносных программ в той же системе шесть месяцев назад.
Сведения об аналитике угроз
- Мы обнаружили фишинговое письмо, которое доставляло пользователю вредоносный документ Word. Документ вызвал серию подозрительных событий, которые вызвали несколько оповещений для определенного семейства вредоносных программ. У вас есть какие-либо сведения об этой вредоносной программе? Если да, можете ли вы отправить нам ссылку?
- Недавно мы видели запись блога об угрозе, которая нацелена на нашу отрасль. Можете ли вы помочь нам понять, какую защиту Microsoft Defender XDR обеспечивает против этого субъекта угроз?
- Недавно мы наблюдали фишинговую кампанию против нашей организации. Можете ли вы сказать нам, было ли это направлено конкретно на нашу компанию или вертикальную?
Эксперты Microsoft Defender по охоте на угрозы оповещений
- Может ли ваша группа реагирования на инциденты помочь нам обратиться к уведомлению экспертов Defender, которое мы получили?
- Мы получили это уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. У нас нет собственной группы реагирования на инциденты. Что мы можем сделать сейчас и как сдержать инцидент?
- Мы получили уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. Какие данные вы можете предоставить нам, которые мы можем передать нашей группе реагирования на инциденты?
Службы, которые не область для экспертов Defender
Эксперты Ask Defender сосредоточены на продуктах, которые включены только в Microsoft Defender XDR, то есть Microsoft Defender для конечной точки, Microsoft Defender для Office, Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений.
Служба не охватывает следующие сценарии:
Запросы, связанные с пользовательскими обнаружениями. Запросы, связанные с пользовательскими обнаружениями в указанных выше продуктах, не могут обрабатываться в Ask Defender Experts, так как наши эксперты обычно не имеют доступа к такой телеметрии или видимости того, как были настроены эти настраиваемые политики. Примеры таких политик:
- Оповещения с источником = политикиОбычай
- Источник = обнаруженияНастраиваемый TI
- Заголовок = оповещенияИндикатор аномалий
- Семейство = угрозТолько настраиваемый корпоративный блок
Запросы, связанные с продуктами, не относящимися к Microsoft Defender XDR. Эксперты Defender не обрабатывают запросы о не Defender XDR продуктах, таких как Microsoft Defender для облака, Microsoft Defender для Интернета вещей, Microsoft Sentinel, Microsoft Purview, Microsoft Priva и другие сторонние продукты кибербезопасности.
Запросы об ошибках. Эксперты Defender не обрабатывают запросы об ошибках в работе с продуктом на портале Defender XDR, например, отсутствуют данные на странице оповещения или инцидента или рекомендуемое действие, не завершенное при выполнении действия. Вы можете связаться с служба поддержки Майкрософт через Центр служб по поводу таких проблем.
Запросы, связанные с проблемами реагирования на инциденты безопасности. Ask Defender Experts не является службой реагирования на инциденты безопасности. Он предназначен для лучшего понимания сложных угроз, влияющих на вашу организацию. Engage с собственной группой реагирования на инциденты безопасности для решения срочных проблем реагирования на инциденты безопасности. Если у вас нет собственной группы реагирования на инциденты безопасности и вы хотите получить помощь майкрософт, создайте запрос на поддержку в Premier Services Hub.
Следующее действие
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.