Share via

Colaboración con expertos a petición

  • Artículo

Se aplica a:

Nota:

Ask Defender Experts se incluye en su suscripción de Expertos de detección de Defender con asignaciones mensuales. Sin embargo, no es un servicio de respuesta a incidentes de seguridad. Está pensado para proporcionar una mejor comprensión de las amenazas complejas que afectan a su organización. Engage con su propio equipo de respuesta a incidentes de seguridad para solucionar problemas urgentes de respuesta a incidentes de seguridad. Si no tiene su propio equipo de respuesta a incidentes de seguridad y desea la ayuda de Microsoft, cree una solicitud de soporte técnico en el Centro de servicios Premier.

Seleccione Preguntar a expertos de Defender directamente en el portal de seguridad de Microsoft 365 para obtener respuestas rápidas y precisas a todas las preguntas de búsqueda de amenazas. Los expertos pueden proporcionar información para comprender mejor las amenazas complejas a las que puede enfrentarse su organización. Preguntar a expertos de Defender puede ayudar a:

  • Recopilación de información adicional sobre alertas e incidentes, incluidas las causas principales y el ámbito
  • Obtenga claridad sobre los dispositivos sospechosos, las alertas o los incidentes y realice los pasos siguientes si se enfrenta a un atacante avanzado.
  • Determinación de riesgos y protecciones disponibles relacionadas con actores de amenazas, campañas o técnicas de atacantes emergentes

Permisos necesarios para enviar consultas en el panel Preguntar a expertos de Defender

Debe seleccionar uno de los siguientes permisos antes de enviar consultas a nuestros expertos de Defender. Para obtener más información sobre los permisos de control de acceso basado en rol (RBAC), consulte: permisos de Microsoft Defender para punto de conexión y Microsoft Defender XDR RBAC.

Nombre del producto Permiso RBAC del producto
Microsoft Defender para punto de conexión RBAC Administración de la configuración de seguridad en Security Center
Microsoft Defender XDR RBAC unificado Autorización y configuración \ Configuración de seguridad \ Configuración de seguridad principal (administrar)
Autorización y configuración \ Configuración de seguridad \ Ajuste de la detección (administrar)

Dónde encontrar expertos de Ask Defender

La opción preguntar a expertos de Defender está disponible en varios lugares del portal:

  • Menú acciones de página del dispositivo

Captura de pantalla de la opción de menú Preguntar a expertos de Defender en el menú acción de la página Dispositivo del portal de Microsoft Defender.

  • Menú flotante de la página de inventario de dispositivos

Captura de pantalla de la opción de menú Preguntar a expertos de Defender en el menú flotante de la página Inventario de dispositivos del portal de Microsoft Defender.

  • Menú flotante de la página Alertas

Captura de pantalla de la opción de menú Preguntar a expertos de Defender en el menú desplegable de la página Alertas del portal de Microsoft Defender.

  • Menú acciones de la página Incidentes

Captura de pantalla de la opción de menú Preguntar a los expertos de Defender en el menú acciones de la página Incidentes del portal de Microsoft Defender.

Preguntas de ejemplo que puede formular de expertos de Defender

Información de alerta

  • Vimos un nuevo tipo de alerta para un binario que vive fuera de la tierra. Podemos proporcionar el identificador de alerta. ¿Puede decirnos más sobre esta alerta y si está relacionada con algún incidente y cómo podemos investigarla más?
  • Hemos observado dos ataques similares, que intentan ejecutar scripts malintencionados de PowerShell pero generan alertas diferentes. Una es "Línea de comandos sospechosa de PowerShell" y la otra es "Se detectó un archivo malintencionado en función de la indicación proporcionada por Office 365". ¿Cuál es la diferencia?
  • Hemos recibido una alerta impar hoy sobre un número anómalo de inicios de sesión erróneos desde el dispositivo de un usuario de alto perfil. No podemos encontrar más pruebas para estos intentos. ¿Cómo puede Microsoft Defender XDR ver estos intentos? ¿Qué tipo de inicios de sesión se están supervisando?
  • ¿Puede proporcionar más contexto o información sobre la alerta y cualquier incidente relacionado, "Se observó un comportamiento sospechoso por parte de una utilidad del sistema"?
  • Observé una alerta titulada "Creación de una regla de reenvío/redireccionamiento". Creo que la actividad es benigna. ¿Puede decirme por qué he recibido una alerta?

Posible peligro del dispositivo

  • ¿Puede ayudar a explicar por qué vemos un mensaje o una alerta de "Proceso desconocido observado" en muchos dispositivos de nuestra organización? Agradecemos cualquier entrada para aclarar si este mensaje o alerta está relacionado con actividades malintencionadas o incidentes.
  • ¿Puede ayudar a validar un posible compromiso en el siguiente sistema, que data de la semana pasada? Se comporta de forma similar a una detección de malware anterior en el mismo sistema hace seis meses.

Detalles de inteligencia sobre amenazas

  • Hemos detectado un correo electrónico de suplantación de identidad (phishing) que ha entregado un documento de Word malintencionado a un usuario. El documento provocó una serie de eventos sospechosos, que desencadenaron varias alertas para una familia de malware determinada. ¿Tiene alguna información sobre este malware? Si es así, ¿puedes enviarnos un enlace?
  • Recientemente hemos visto una entrada de blog sobre una amenaza que está dirigida a nuestro sector. ¿Puede ayudarnos a comprender qué protección Microsoft Defender XDR proporciona contra este actor de amenazas?
  • Recientemente hemos observado una campaña de suplantación de identidad realizada contra nuestra organización. ¿Puede decirnos si se ha dirigido específicamente a nuestra empresa o vertical?

Expertos de detección de Microsoft Defender comunicaciones de alertas

  • ¿Puede el equipo de respuesta a incidentes ayudarnos a abordar la notificación de expertos de Defender que tenemos?
  • Hemos recibido esta notificación de expertos de Defender de Expertos de detección de Microsoft Defender. No tenemos nuestro propio equipo de respuesta a incidentes. ¿Qué podemos hacer ahora y cómo podemos contener el incidente?
  • Hemos recibido una notificación de expertos de Defender de Expertos de detección de Microsoft Defender. ¿Qué datos puede proporcionarnos que podemos pasar a nuestro equipo de respuesta a incidentes?

Paso siguiente

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.