Kysy defenderin asiantuntijoilta

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft 365 Defender

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Elokuusta 2022 lähtien Experts on Demand -vaihtoehto uhka-asiantuntijan konsultoimiseksi on uudelleenbrändätty kysymään defenderin asiantuntijoilta. Nämä ohjeet tukevat edelleen vanhaa Microsoftin uhka-asiantuntijat palvelua. Jos kuitenkin haluat tutustua palveluun nykyisen käyttöoikeutesi ulkopuolella, katso Microsoft Defenderin etsintäasiantuntijat. Microsoft Defenderin etsintäasiantuntijat tilaus sisältää Experts on Demand -palvelun.

Asiakkaat voivat ottaa suojausasiantuntijamme suoraan yhteyttä Microsoft 365 Defender portaalissa saadakseen vastauksensa. Asiantuntijat antavat merkityksellisiä tietoja, joita tarvitaan organisaatioosi vaikuttavien monimutkaisten uhkien ymmärtämiseen hälytyskyselyistä, mahdollisesti vaarantuneista laitteista, epäilyttävän verkkoyhteyden pääsyystä, jatkuviin edistyneisiin pysyviin uhkakampanjoihin liittyviin uhkien lisäämiseen. Tämän ominaisuuden avulla voit:

• Lisätietoja ilmoituksista, mukaan lukien tapahtuman pääsyy tai laajuus
• Selkeytä epäilyttävää laitteen toimintaa ja seuraavia vaiheita, jos kohtaat edistyneen hyökkääjän
• Uhkien toimijoihin, kampanjoihin tai uusiin hyökkääjien tekniikoihin liittyvien riskien ja suojauksen määrittäminen

Huomautus

Experts on Demand ei ole tietoturvatapausten käsittelypalvelu. Sen tarkoituksena on tarjota parempi käsitys organisaatioosi vaikuttavista monimutkaisista uhista. Ota yhteyttä omaan tietoturvatapausten käsittelytiimiin kiireellisten tietoturvatapausten käsittelyongelmien ratkaisemiseksi. Jos sinulla ei ole omaa turvallisuustapausten käsittelyryhmää ja haluat Microsoft apua, luo tukipyyntö Premier Services Hubissa.

Kysy Defender-asiantuntijoilta epäilyttävistä kyberturvallisuustoimista organisaatiossasi

Voit tehdä yhteistyötä Microsoft Defender Experts -asiantuntijoiden kanssa, jotka voivat osallistua suoraan Microsoft 365 Defender portaalissa. Asiantuntijat tarjoavat merkityksellisiä tietoja ymmärtääkseen paremmin monimutkaisia uhkia, saamiasi puolustajien asiantuntijailmoituksia tai jos tarvitset lisätietoja ilmoituksista, mahdollisesti vaarantuneesta laitteesta tai uhkatietojen kontekstista, jonka näet portaalin koontinäytössä.

Huomautus

• Organisaatiosi mukautettuihin uhkatietoihin liittyviä hälytyskyselyitä ei tällä hetkellä tueta. Saat lisätietoja suojaustoiminnoista tai tapausten käsittelyryhmästä.
• Sinulla on oltava suojausasetusten hallinta -käyttöoikeus Microsoft 365 Defender-portaalissa, jotta voit lähettää Kysy defenderiasiantuntijoilta -kyselyn.

1. Siirry portaalisivulle ja anna tarvittavat tiedot, joita haluat tutkia, esimerkiksi Tapaus-sivu . Varmista, että kyseessä olevan ilmoituksen tai laitteen sivu on näkyvissä, ennen kuin lähetät tutkintapyynnön.

2. Napsauta oikean yläkulman valikosta ? -kuvaketta. Valitse sitten Kysy defenderin asiantuntijoilta

Kyselyn aihe -kentässä on valmiiksi määritetty linkki tutkimuspyyntösi asianmukaiselle sivulle. Esimerkiksi linkki tapahtuman, hälytyksen tai laitteen tietosivulle, jolla teit pyynnön.

3. Anna seuraavalla kentällä riittävästi tietoja, jotta Microsoft Defender Asiantuntijat voivat aloittaa tutkimuksen.

4. Anna sähköpostiosoite, jota haluat käyttää vastaamaan Microsoft Defender Asiantuntijat. Varmista, että sähköpostiosoite on tilille, johon on liitetty postilaatikko. Jos näin ei ole, lisää sähköpostiosoite, johon on liitetty postilaatikko.

Huomautus

Jos haluat seurata Experts on Demand -palvelupyyntöjen tilaa Microsoft Services Hubin kautta, ota yhteyttä Customer Success Account Manageriisi.

Katso tästä videosta lyhyt yleiskatsaus Microsoft Services Hubista.

Esimerkkitutkimusaiheista, joita voit kysyä Defenderin asiantuntijoilta

Ilmoitustiedot

• Näemme uudentyyppisen hälytyksen living-off-the-land-binaarille: [AlertID]. Voitko kertoa meille lisää tästä ilmoituksesta ja siitä, miten voimme tutkia asiaa tarkemmin?
• Olemme havainneet kaksi samankaltaista hyökkäystä, jotka yrittävät suorittaa haitallisia PowerShell-komentosarjoja, mutta luoda erilaisia ilmoituksia. Toinen on Epäilyttävä PowerShell-komentorivi ja toinen on "Vahingollinen tiedosto havaittiin O365:n antaman merkinnän perusteella". Mitä eroa sillä on?
• Vastaanotan tänään parittoman ilmoituksen korkean profiilin käyttäjän laitteen epäonnistuneiden kirjautumisten epänormaalista määrästä. En löydä lisää todisteita kirjautumisyrityksistä. Miten Defender for Endpoint voi nähdä nämä yritykset? Minkä tyyppisiä sisäänkirjautumisia seurataan?
• Voitko antaa lisää kontekstia tai merkityksellisiä tietoja tästä ilmoituksesta: "Järjestelmäapuohjelman epäilyttävä toiminta havaittiin".

Mahdollinen laitekomprosentti

• Voitko auttaa vastaamaan, miksi näemme "Tuntematon prosessi havaittu?" Tämä viesti tai ilmoitus näkyy usein useissa laitteissa. Arvostamme kaikkia syötteitä sen selvittämiseksi, liittyykö tämä viesti tai ilmoitus haitalliseen toimintaan.
• Voitko auttaa vahvistamaan mahdollisen kompromissin seuraavassa järjestelmässä [päivämäärä] samanlaisella käyttäytymisellä kuin edellisellä [haittaohjelman nimi] haittaohjelmien tunnistuksella samassa järjestelmässä [kuukaudessa]?

Uhkien tiedustelutiedot

• Havaitsimme tietojenkalastelusähköpostin, joka toimitti haitallisen Word-asiakirjan käyttäjälle. Haitallinen Word-asiakirja aiheutti useita epäilyttäviä tapahtumia, jotka käynnistivät useita Endpoint Attack Notifications -hälytyksiä [haittaohjelman nimi] haittaohjelmalle. Onko sinulla tietoja tästä haittaohjelmasta? Jos on, voitko lähettää minulle linkin?
• Näin äskettäin [sosiaalisen median viittauksen, esimerkiksi Twitterin tai blogin] viestin uhasta, joka kohdistuu alaani. Voitko auttaa minua ymmärtämään, mitä suojaa Defender for Endpoint tarjoaa tätä uhkanäyttelijää vastaan?

Defender Expertsin hälytysviestintä

• Voiko tapausten käsittelyryhmä auttaa meitä käsittelemään meille saatuja päätepisteen hyökkäysilmoituksia?

• Olen vastaanottanut tämän päätepisteen hyökkäysilmoitukset Microsoft suojausasiantuntijoilta. Meillä ei ole omaa tapausten käsittelyryhmää. Mitä voimme tehdä nyt ja miten voimme hillitä tapausta?

• Sain päätepisteen hyökkäysilmoitukset Microsoft Defender-asiantuntijoilta. Mitä tietoja voit antaa meille, jotta voimme välittää ne tapausten käsittelyryhmällemme?

  Huomautus

  Experts on Demand on hallittu kyberturvallisuuden metsästyspalvelu eikä tapausten käsittelypalvelu. Voit kuitenkin olla yhteydessä omaan tapausten käsittelytiimiin sellaisten ongelmien ratkaisemiseksi, jotka edellyttävät tapausten käsittelyä. Jos sinulla ei ole omaa tapausten käsittelyryhmää ja haluat Microsoft apua, voit olla yhteydessä CSS:n kyberturvallisuustapausten käsittelyryhmään (CIRT). He voivat avata palvelupyynnön, joka auttaa kyselyn käsittelemisessä.

Skenaario

Vastaanota tilanneraportti metsästyksen hallinnasta

Microsoft Defender asiantuntijoiden vastaus vaihtelee kyselysi mukaan. He lähettää sinulle tilanneraportin Kysy puolustajan asiantuntijat - kyselystäsi kahden päivän kuluessa, jotta he voivat ilmoittaa tutkimuksen tilan seuraavista luokista:

• Lisätietoja tarvitaan tutkimuksen jatkamiseksi
• Teknisen kontekstin määrittämiseen tarvitaan tiedosto tai useita tiedostonäytteitä
• Tutkimus vaatii enemmän aikaa
• Alkutiedot riittivät tutkimuksen päätökseen saattamiseen.

On tärkeää reagoida nopeasti, jotta tutkinta pysyy liikkeessä.

Seuraavat vaiheet

• Jos haluat etsiä uhkia ennakoivasti päätepisteissä, katso Endpoint Attack Notification.
• Jos haluat etsiä uhkia ennakoivasti päätepisteissä, Office 365, pilvisovelluksissa ja identiteetissä, katso Microsoft Defenderin etsintäasiantuntijat.