开始使用 Defender 搜寻专家

适用于：

• Microsoft Defender XDR
• Microsoft Defender XDR 专家

Microsoft Defender 搜寻专家是一项托管服务，可为业内尚不为人知的新兴威胁提供搜寻功能。 搜寻服务的分析师基于世界知名的Microsoft威胁情报和研究，审查威胁参与者演变的趋势。 然后，他们应用他们收集的见解来搜寻客户生态系统中的新兴攻击途径。

凭借由威胁情报提供支持的深厚产品专业知识，我们具有独特的优势来帮助你：

1. 关注生态系统上下文中的新型威胁参与者演变。
2. 从我们的专家处获取详细、分步和可操作的指导，以便你能够应对这些新出现的威胁。
3. 寻求 Defender 专家的帮助。

本文档概述了在购买Microsoft Defender 搜寻专家服务之前必须满足的关键基础结构要求以及有关数据访问和合规性的重要信息。 Microsoft了解，使用我们托管服务的客户委托我们获得他们最重视的资产（即数据）。

资格和许可

Defender 搜寻专家是与现有Microsoft Defender产品不同的服务。 在注册此服务之前，请确保拥有必要的许可证和访问权限。

我们需要以下许可先决条件才能开始使用此威胁搜寻服务：

• Microsoft Defender for Endpoint P2 必须在符合条件的设备上获得许可并启用
• Microsoft Defender防病毒必须在载入到 Defender for Endpoint 的设备上获得许可并启用， (终结点检测)

以下产品也有资格获得Defender 搜寻专家覆盖范围，并且你必须拥有相应的产品许可证才能开始使用该服务：

• Microsoft Defender for Office 365 计划 2
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps

此服务 未 涵盖以下产品：

• 适用于 IoT 的 Microsoft Defender
• 前面列表中未提及的其他Microsoft服务

Defender 搜寻专家覆盖范围

Defender 搜寻专家依赖于来自 Defender for Endpoint、Defender for Office 365、Defender for Cloud Apps、Defender for Identity 的事件信号。 它还依赖于专有Microsoft威胁情报源。

此服务还涵盖服务器（无论是在本地还是超大规模云服务提供商上），这些服务器在服务器上部署了具有Microsoft Defender for Endpoint for Servers 许可证的 Defender for Endpoint。

例如，非来自Microsoft Defender产品的任何检测 (来自其他安全供应商) 的检测不在Defender 搜寻专家范围内。

咨询 Defender 专家

询问 Defender 专家 旨在更好地了解影响组织的复杂威胁。 它侧重于 Microsoft Defender XDR (Defender for Endpoint、Defender for Office 365、Defender for Cloud Apps 和 Defender for Identity) 中包含的产品。 请参阅可以询问 Defender 专家的示例问题。

Defender 搜寻专家客户在每个日历季度开始时都会获得 10 个 Ask Defender 专家信用额度，可用于提交问题。 当前季度未使用的额度汇总到下一季度。 每个季度最多只能使用 20 个额度。 所有未使用的信用额度将在日历年结束或订阅期结束时到期，以先到者为准。

详细了解Microsoft的商业许可条款

访问要求

组织中的任何人都可以申请Defender 搜寻专家服务。 但是，你需要与商业主管合作以交易 SKU。

可能需要某些角色和权限才能完全访问服务功能。 有关详细信息，请参阅基于角色的访问控制中的自定义角色Microsoft Defender XDR。

服务可用性和数据保护

Defender 搜寻专家是一种托管威胁搜寻服务，可跨终结点、电子邮件、标识和云应用主动搜寻威胁。 若要代表你执行搜寻，Microsoft专家需要访问你的Microsoft Defender XDR高级搜寻数据。 注册此服务意味着你授予Microsoft专家访问上述数据的权限。

以下部分枚举有关服务的数据使用情况、合规性和可用性的其他信息。 有关Microsoft在评估和保护数据方面的承诺的详细信息，请访问信任中心，然后向下滚动到其他产品和服务>托管安全服务>Microsoft Defender专家。

数据收集、使用情况和保留

用于从现有 Defender 服务搜寻的所有数据将继续驻留在客户的原始Microsoft Defender XDR服务存储位置。 了解更多

Defender 搜寻专家操作数据（例如案例票证和分析师说明）生成并存储在美国区域的Microsoft数据中心，对于美国客户和欧盟客户的欧盟客户，无论服务Microsoft Defender XDR存储位置如何。 为报告仪表板生成的数据存储在客户的Microsoft Defender XDR服务存储位置。 报告数据和操作数据将在客户的订阅到期后保留不超过 90 天的宽限期。 如果客户终止其订阅，数据将在 30 天内删除。

Microsoft专家Microsoft Defender XDR高级搜寻表中的高级搜寻日志。 这些表中的数据取决于为客户启用 (的 Defender 服务集，例如，Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps和Microsoft Entra ID) 。 专家还使用大量的内部威胁情报数据来通知他们的搜寻和自动化。

安全性和合规性

购买并载入Defender 搜寻专家时，即授予Microsoft专家访问高级搜寻数据的权限。

可用性

此服务面向全球商业公有云中的客户提供。 它目前不适用于政府和主权云中的客户。

语言

此服务目前仅以英语提供。

申请Microsoft Defender 搜寻专家服务

可以通过执行以下步骤申请Defender 搜寻专家：

1. 填写 客户兴趣表。
2. 输入姓名、公司名称和公司电子邮件 ID。
3. 选择“提交”。 我们销售团队的人员将在五个工作日内联系。

后续步骤

• 开始使用 Defender 专家搜寻

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。