与 XDR 服务Microsoft Defender专家中的专家沟通

适用于:

Microsoft Defender XDR 专家提供了多种沟通渠道,可与我们的专家讨论事件、按需提问,或者从服务交付经理 (SDM) 获得服务就绪情况或运营支持。

事件和托管响应通知

当某个事件需要你注意时,例如我们的专家发出 托管响应操作的事件,系统会通过以下一个或多个渠道通知你:

门户内聊天

注意

聊天选项仅适用于我们发出托管响应的事件。

Microsoft Defender XDR门户中的“聊天”选项卡为你提供了一个空间来与我们的专家接触,并进一步了解事件、我们的调查以及我们提供的必要操作。 可以询问恶意可执行文件、恶意附件、有关活动组的信息、高级搜寻查询或任何其他有助于事件解决的信息。

门户中托管响应聊天的屏幕截图。

Teams 聊天

除了使用门户内聊天外,还可以直接在 Microsoft Teams 中与 Defender 专家进行实时聊天对话。 此功能使你和你的安全运营中心 (SOC) 团队在响应需要托管响应的事件时更具灵活性。 详细了解如何在 Teams 上启用通知和聊天

在 Teams 上打开聊天后,将创建一个名为 Defender 专家团队的新团队 ,并在其中安装 Defender Experts Teams 应用。 需要你注意的每个事件都作为新帖子发布在此团队的 托管响应 频道上。 例如,若要与我们的专家 (联系,请询问有关 Defender 专家) 发布的调查摘要或操作的后续问题,请使用“回复”文本栏提及或标记@Defender专家并键入消息。 如果在设置 Defender 专家通道或标记 @Defender 专家时遇到问题,请参阅 Microsoft Teams 中的 Defender Experts 应用权限疑难解答

托管响应团队通道的屏幕截图。

使用 Teams 聊天时的重要提醒:

  • 我们的专家可以通过 Defender Experts Teams 应用访问 Defender Experts 团队 中的消息,因此你不必向此团队明确说明消息。
  • 我们的专家仅看到 Defender 专家针对托管响应创建的现有帖子的回复。 如果你创建新帖子,我们的专家将无法看到它。
  • 虽然 Defender 专家可能有权访问 Defender 专家团队中任何频道中的所有消息,但在回复中键入@Defender专家来标记或提及专家,以便通知他们加入聊天对话。
  • 请勿附加任何附件 (例如,聊天中用于分析的文件) 。 出于安全原因,Defender 专家无法查看附件。 相反,请将其发送到相应的提交渠道,或提供可在Microsoft Defender XDR门户中找到它们的链接。
  • Teams 聊天中有关事件的对话也会与Microsoft Defender XDR门户中事件的“聊天”选项卡同步,以便无论走到哪里,都可以查看有关调查的消息和更新。

电子邮件

每当 Microsoft XDR 门户中发布了包含已完成或挂起操作的托管响应,或者需要提醒你有关等待操作的事件时,Defender Experts for XDR 服务通常会发送自动电子邮件。

但是,在以下任一情况下,我们的专家也可以直接向已识别的通知联系人发送电子邮件:

  • 当他们需要其他信息或上下文来调查事件时
  • 当他们在 Microsoft Defender XDR 门户中手动检测到事件或警报之外的恶意或可疑活动时,需要响应操作
  • 当他们回复通过电子邮件发送给他们的请求或查询时

重要

请记得验证声称来自 Defender 专家的电子邮件。

电话

在需要立即关注 ((例如,高价值基础结构上的恶意软件、勒索软件、数据外泄、内部威胁或确定的人类对手) 的其他迹象)中,我们的专家会使用你提供的详细信息(包括拨打他们列出的电话号码)联系已识别 的事件通知联系人详细了解如何为事件通知添加联系人或组

咨询 Defender 专家

虽然前面的方案涉及发起与你的通信的专家,但你也可以通过直接在Microsoft Defender XDR门户中选择“询问 Defender 专家”来按需请求高级威胁专业知识。 了解更多

与服务交付管理器协作

服务交付管理器 (SDM) 负责管理组织与 Defender Experts for XDR 服务的整体关系。 他们是你值得信赖的顾问,与 XDR 专家团队合作,帮助你保护组织。

SDM 提供以下服务:

  • 服务就绪性支持
    • 让客户了解端到端服务体验,从注册到常规操作和升级过程。
    • 帮助建立服务就绪的安全态势,包括有关所需控制和策略更新的指导。
  • 服务操作支持
    • 提供定制的服务交付内容和报告,包括定期业务评审。
    • 充当与 Defender 专家服务相关的反馈和升级的单一联系人。

SDM 与已识别 的服务评审联系人联系详细了解如何添加联系人或组进行服务评审和交付

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区