與隨選專家共同作業
適用於:
注意事項
Ask Defender 專家包含在您的 Defender 搜補專家 訂用帳戶中,每季配置一次。
選取 [直接在 Microsoft 365 安全性入口網站中 詢問 Defender 專家 ],以快速且精確地回應所有威脅搜捕問題。 專家可以提供深入解析,進一步瞭解貴組織可能面臨的複雜威脅。 詢問 Defender 專家可以協助:
- 收集有關警示和事件的其他資訊,包括根本原因和範圍
- 清楚瞭解可疑的裝置、警示或事件,並在遇到進階攻擊者時採取後續步驟
- 判斷與威脅執行者、活動或新興攻擊者技術相關的風險與可用的保護
使用 Ask Defender 專家的必要許可權
您必須選取下列其中一個 Microsoft Entra ID 角色,以檢視查詢並將查詢提交給我們的 Defender 專家。
Microsoft Entra ID 角色 | 權限層級 |
---|---|
全域讀取者、安全性讀取者 | 讀取查詢 |
全域 管理員、安全性 管理員、安全性操作員 | 讀取和提交查詢 |
若要深入瞭解 Microsoft Entra ID 角色如何對應至整合 RBAC 許可權 Microsoft Defender,請參閱 Microsoft Entra 全域角色存取。
Microsoft 威脅專家 使用 Ask Defender 專家功能的客戶也可以從 Microsoft Defender 全面偵測回應 Unified RBAC 使用下列許可權。
Microsoft Defender 全面偵測回應 整合 RBAC 角色 | 權限層級 |
---|---|
安全性數據基本概念 | 讀取 |
警示、回應 | 讀取和提交 |
向詢問 Defender 專家提交查詢的位置
您可以在入口網站的數個地方使用 [詢問 Defender 專家 ] 選項:
從何處檢視 Defender 專家的回應
在入口網站中
您可以流覽至 [報告 Defender專家] 訊息,檢視六個月前>提交給詢問 Defender 專家的查詢回應。 您也可以從此頁面詢問後續問題或回復 Defender 專家的詳細資訊。
電子郵件
如果您在提交查詢時包含聯繫人電子郵件地址,當 Defender 專家的回應張貼時,他們會收到電子郵件通知。
您可以向 Defender 專家詢問的範例問題
警示資訊
- 我們看到針對 LOLBIN (Living Off the Land Binary) 的一種新類型的警示。 我們可以提供警示識別碼。 您可以告訴我們有關此警示的詳細資訊,以及它是否與任何事件有關,以及如何進一步調查?
- 我們觀察到兩個類似的攻擊,這兩種攻擊都會嘗試執行惡意 PowerShell 指令碼,但會產生不同的警示。 其中一個是「可疑的 PowerShell 命令行」,另一個是「根據 Office 365 提供的指示偵測到惡意檔案」。有何差異?
- 我們今天收到關於來自高配置檔用戶裝置之異常登入次數的奇數警示。 我們找不到這些嘗試的任何進一步辨識項。 如何 Microsoft Defender 全面偵測回應 查看這些嘗試? 正在監視哪種類型的登入?
- 您可以提供更多有關警示和任何相關事件的內容或深入解析,「觀察到系統公用程式的可疑行為」嗎?
- 我觀察到標題為「建立轉送/重新導向規則」的警示。 我認為此活動是無害的。 可以告訴我為什麼會收到警示嗎?
可能的裝置入侵
- 可以協助說明為什麼我們會在組織的許多裝置上看到「觀察到未知的程序」訊息或警示嗎? 我們感謝任何輸入,以釐清此訊息或警示是否與惡意活動或事件相關。
- 可以協助我們驗證下列系統上 (上週開始) 可能遭受的入侵嗎? 它的行為與六個月前在相同系統上先前的惡意程式碼偵測類似。
威脅情報詳細資料
- 我們偵測到將惡意 Word 文件傳送給使用者的網路釣魚電子郵件。 該文件會導致一系列的可疑事件,其會觸發特定惡意程式碼系列的多個警示。 有任何關於此惡意程式碼的資訊嗎? 如果有,可以傳送連結給我們嗎?
- 我們最近看到一篇部落格文章,它是關於以我們的產業為目標的威脅。 您可以協助我們瞭解 Microsoft Defender 全面偵測回應 針對此威脅執行者提供哪些保護嗎?
- 我們最近觀察到針對我們組織進行的網路釣魚活動。 可以告訴我們這是專門鎖定我們的公司或行業嗎?
Microsoft Defender 搜補專家 警示通訊
- 您的事件回應小組可以協助我們處理我們收到的 Defender 專家通知嗎?
- 我們從 Microsoft Defender 搜補專家 收到此 Defender 專家通知。 我們沒有自己的事件回應小組。 我們目前可以做什麼,以及如何抑制該事件?
- 我們收到來自 Microsoft Defender 搜補專家的Defender專家通知。 您可以提供什麼資料給我們,讓我們可以傳遞給事件回應團隊?
不在 Defender 專家範圍內的服務
詢問 Defender 專家著重於僅包含在 Microsoft Defender 全面偵測回應 中的產品,也就是 適用於端點的 Microsoft Defender、Microsoft Defender for Office、Microsoft Defender for Cloud Apps和 適用於身分識別的 Microsoft Defender。
此服務未涵蓋下列案例:
與自定義偵測相關的查詢- 與上述產品中的自定義偵測相關的查詢無法在 Ask Defender 專家中處理,因為我們的專家通常無法存取這類遙測或這些自定義原則設定方式的可見度。 這類原則的範例包括:
- 具有原則來源 = 的警示習慣
- 偵測來源 = 自訂 TI
- 警示標題 = 異常指標
- 威脅系列 = 僅自定義企業區塊
與非 Microsoft Defender 全面偵測回應 產品相關的查詢 - Defender 專家不會處理非 Defender 全面偵測回應 產品的查詢,例如雲端 Microsoft Defender、IoT Microsoft Defender、Microsoft Sentinel、Microsoft Purview、Microsoft Priva 和其他第三方網路安全性產品。
關於 Bug 的查詢 - Defender 專家不會在 Defender 全面偵測回應 入口網站中處理有關您產品體驗中 Bug 的查詢,例如,警示或事件頁面上遺失的數據,或在您採取動作時未完成的建議動作。 如有這類問題,您可以透過 Services Hub 與 Microsoft 支援服務 聯繫。
與安全性事件回應問題相關的查詢 - 詢問 Defender 專家不是安全性事件回應服務。 其目的是要讓您更加瞭解影響貴組織的複雜威脅。 Engage 與您自己的安全性事件回應小組合作,以解決緊急安全性事件響應問題。 如果您沒有自己的安全性事件回應小組,而且想要Microsoft的協助,請在 Premier Services Hub 中建立支援要求。
下一步
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。