Začínáme používat Microsoft Defender experti na proaktivní vyhledávání

Platí pro:

• Microsoft 365 Defender

Onboarding

Pokud s odborníky na Microsoft 365 Defender a Defender pro vyhledávání začínáte:

1. Po přijetí uvítacího e-mailu vyberte Přihlásit se k Microsoft 365 Defender.
2. Pokud už účet Microsoft máte, přihlaste se. Pokud žádný není, vytvořte ho.
3. Rychlá prohlídka Microsoft 365 Defender vás seznámí se sadou zabezpečení, kde jsou možnosti a jak důležité jsou. Vyberte Udělat rychlou prohlídku.
4. Přečtěte si krátké popisy o službě Microsoft Defender Experts a možnostech, které poskytuje. Vyberte Další. Zobrazí se úvodní stránka:

Příjem oznámení expertů programu Defender

Služba oznámení expertů programu Defender zahrnuje:

• Monitorování a analýza hrozeb, zkrácení doby setrvání a rizika pro vaši firmu
• Umělá inteligence vycvičená lovcem, která zjišťuje a cílí na známé i vznikající hrozby
• Identifikace nejdůležitějších rizik a pomoct soc maximalizovat jejich účinnost
• Pomoc s vymezením rozsahu kompromisů a co nejvíce kontextu, který je možné rychle doručit, aby bylo možné rychle reagovat na soc

Ukázkové oznámení expertů programu Defender najdete na následujícím snímku obrazovky:

Kde najdete oznámení odborníků na Defender

Oznámení expertů programu Defender můžete dostávat od odborníků z programu Defender prostřednictvím následujících médií:

• Stránka Incidenty na portálu Microsoft 365 Defender
• Stránka Upozornění na portálu Microsoft 365 Defender
• Rozhraní API pro upozorňování OData a REST API
• Tabulka DeviceAlertEvents v rozšířeném proaktivním vyhledávání
• Váš e-mail, pokud nakonfigurujete pravidlo e-mailových oznámení

Filtrem zobrazíte jenom oznámení expertů programu Defender.

Incidenty a výstrahy můžete filtrovat, pokud chcete, aby se mezi mnoha upozorněními zobrazovala jenom oznámení expertů programu Defender. Postup:

1. V navigační nabídce přejděte na Incidenty & výstrahy>Incidenty> – Vyberte ikonu ikona.
2. Posuňte se dolů do pole >Značky a zaškrtněte políčko Defender Experts.
3. Vyberte Použít.

Nastavení e-mailových oznámení expertů programu Defender

Můžete nastavit Microsoft 365 Defender tak, aby vás nebo vaše zaměstnance informovaly e-mailem o nových incidentech nebo aktualizacích stávajících incidentů, včetně těch, které zaznamenali odborníci na Microsoft Defender. Další informace o zasílání oznámení o incidentech e-mailem

1. V navigačním podokně Microsoft 365 Defender vyberte Nastavení>Microsoft 365 Defender>Email oznámení>Incidenty.
2. Aktualizujte stávající pravidla e-mailových oznámení nebo vytvořte nové. Další informace o vytvoření pravidla pro e-mailová oznámení
3. Na stránce Nastavení oznámení pravidla nezapomeňte nakonfigurovat následující:
   • Zdroj – v části Microsoft 365 Defender a Microsoft Defender for Endpoint vyberte Microsoft Defender Experty.
   • Závažnost výstrahy – Zvolte závažnost výstrahy, která aktivuje oznámení incidentu. Pokud například chcete být informováni pouze o vysoce závažných incidentech, vyberte Vysoká.

Spolupráce s odborníky na vyžádání

Poznámka

Součástí předplatného Defender Experts for Hunting s měsíčními přiděleními jsou odborníci na vyžádání. Nejedná se ale o službu reakce na incidenty zabezpečení. Jejím cílem je lépe porozumět složitým hrozbám, které ovlivňují vaši organizaci. Při řešení naléhavých problémů s reakcemi na incidenty zabezpečení se obraťte na svůj vlastní tým reakce na incidenty zabezpečení. Pokud nemáte vlastní tým pro reakce na incidenty zabezpečení a chcete pomoc od Microsoftu, vytvořte žádost o podporu ve službě Premier Services Hub.

Výběrem možnosti Zeptat se expertů programu Defender přímo na portálu zabezpečení Microsoftu 365 získáte rychlé a přesné odpovědi na všechny otázky týkající se proaktivního vyhledávání hrozeb. Odborníci můžou poskytnout přehled, který vám umožní lépe porozumět složitým hrozbám, kterým může vaše organizace čelit. Odborníci na vyžádání vám můžou pomoct:

• Shromáždění dalších informací o výstrahách a incidentech, včetně původních příčin a rozsahu
• Získejte přehled o podezřelých zařízeních, výstrahách nebo incidentech a proveďte další kroky, pokud se setkáte s pokročilým útočníkem.
• Určení rizik a dostupné ochrany související s aktéry hrozeb, kampaněmi nebo nově vznikajícími technikami útočníků

Možnost Zeptat se expertů programu Defender je dostupná na několika místech na portálu:

• Nabídka akcí stránky zařízení

• Kontextová nabídka stránky inventáře zařízení

• Kontextová nabídka stránky Upozornění

• Nabídka akcí na stránce Incidenty

Poznámka

Pokud chcete sledovat stav případů expertů na vyžádání prostřednictvím centra služeb Microsoft Services Hub, obraťte se na manažera zákaznického účtu pro úspěch. Podívejte se na toto video , kde najdete rychlý přehled centra služeb Microsoftu.

Ukázkové otázky, na které se můžete ptát od odborníků na Defender

Informace o upozornění

• Viděli jsme nový typ upozornění pro binární soubor living-off-the-land. Můžeme zadat ID upozornění. Můžete nám o tomto upozornění říct více a jestli souvisí s nějakým incidentem a jak ho můžeme dále prošetřit?
• Zaznamenali jsme dva podobné útoky, které se snaží spustit škodlivé skripty PowerShellu, ale generují různé výstrahy. První z nich je "Podezřelý příkazový řádek PowerShellu" a druhý je "Byl zjištěn škodlivý soubor na základě indikace poskytnuté Office 365". Jaký je rozdíl?
• Dnes jsme obdrželi liché upozornění na neobvyklý počet neúspěšných přihlášení ze zařízení uživatele s vysokým profilem. Nemůžeme najít žádné další důkazy pro tyto pokusy. Jak Microsoft 365 Defender vidět tyto pokusy? Jaký typ přihlášení se monitoruje?
• Můžete poskytnout další kontext nebo přehled o upozornění a souvisejících incidentech s informací o podezřelém chování systémového nástroje?
• Všiml(a) jsem si upozornění s názvem Vytvoření pravidla přesměrování/přesměrování. Věřím, že tato aktivita je neškodná. Můžete mi říct, proč mi přišlo upozornění?

Možné ohrožení zabezpečení zařízení

• Můžete nám pomoct vysvětlit, proč se na mnoha zařízeních v naší organizaci zobrazuje zpráva nebo upozornění týkající se neznámého procesu? Vážíme si každého podnětu, abychom objasnili, jestli tato zpráva nebo upozornění souvisí se škodlivou aktivitou nebo incidenty.
• Můžete pomoct ověřit možné ohrožení zabezpečení v následujícím systému z minulého týdne? Chová se podobně jako předchozí detekce malwaru ve stejném systému před šesti měsíci.

Podrobnosti analýzy hrozeb

• Zjistili jsme phishingový e-mail, který uživateli doručil škodlivý Word dokument. Dokument způsobil řadu podezřelých událostí, které aktivovaly několik výstrah pro konkrétní rodinu malwaru. Máte nějaké informace o tomto malwaru? Pokud ano, můžete nám poslat odkaz?
• Nedávno jsme viděli blogový příspěvek o hrozbě, která cílí na naše odvětví. Můžete nám pomoct pochopit, jakou ochranu Microsoft 365 Defender poskytují proti tomuto objektu hrozeb?
• Nedávno jsme zaznamenali phishingovou kampaň prováděnou proti naší organizaci. Můžete nám říct, jestli se to týká konkrétně naší společnosti, nebo vertikálního?

Microsoft Defender experti na proaktivní vyhledávání upozornění

• Může nám váš tým pro reakce na incidenty pomoct vyřešit oznámení expertů programu Defender, které jsme dostali?
• Od Microsoft Defender experti na proaktivní vyhledávání jsme obdrželi toto oznámení o programu Defender Experts. Nemáme vlastní tým pro reakce na incidenty. Co můžeme dělat teď a jak můžeme incident zadržet?
• Od Microsoft Defender experti na proaktivní vyhledávání jsme obdrželi oznámení o programu Defender Experts. Jaká data nám můžete poskytnout, která můžeme předat našemu týmu reakce na incidenty?

Další krok

• Vysvětlení sestavy Defender Experts for Hunting v Microsoft 365 Defender

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Microsoft 365 Defender Tech Community.