Tee yhteistyötä asiantuntijoiden kanssa pyydettäessä

  • Artikkeli

Koskee seuraavia:

Huomautus

Kysy defenderin asiantuntijoilta sisältyy Defenderin etsintäasiantuntijat tilaukseen kuukausittaisten varausten kanssa. Se ei kuitenkaan ole tietoturvatapausten käsittelypalvelu. Sen tarkoituksena on tarjota parempi käsitys organisaatioosi vaikuttavista monimutkaisista uhista. Engage oman tietoturvatapausten käsittelyryhmäsi kanssa kiireellisten tietoturvatapausten käsittelyongelmien ratkaisemiseksi. Jos sinulla ei ole omaa tietoturvatapausten käsittelyryhmää ja haluat Microsoftin apua, luo tukipyyntö Premier Services Hubissa.

Valitse Kysy Defender-asiantuntijoilta suoraan Microsoft 365 -tietoturvaportaalissa saadaksesi nopeita ja tarkkoja vastauksia kaikkiin uhkien metsästyskysymyksiisi. Asiantuntijat voivat tarjota merkityksellisiä tietoja ymmärtääkseen paremmin monimutkaisia uhkia, joita organisaatiosi saattaa kohdata. Pyydä Defender-asiantuntijoita auttamaan:

  • Kerää lisätietoja ilmoituksista ja tapauksista, mukaan lukien pääsyyt ja laajuus
  • Selkeytä epäilyttäviin laitteisiin, hälytyksiin tai tapauksiin ja ryhdy seuraaviin toimiin, jos kohtaat edistyneen hyökkääjän
  • Uhkien toimijoihin, kampanjoihin tai uusiin hyökkääjien tekniikoihin liittyvien riskien ja käytettävissä olevien suojausten määrittäminen

Tarvittavat oikeudet kyselyiden lähettämiseen Kysy defenderin asiantuntijat -paneelissa

Sinun on valittava jokin seuraavista käyttöoikeuksista, ennen kuin lähetät kyselyjä Defender-asiantuntijoillemme. Lisätietoja roolipohjaisten käyttöoikeuksien (RBAC) käyttöoikeuksista on seuraavissa kohdissa: Microsoft Defender for Endpoint ja Microsoft Defender XDR RBAC-käyttöoikeudet.

Tuotteen nimi Tuotteen RBAC-käyttöoikeus
Microsoft Defender for Endpoint RBAC Suojausasetusten hallinta tietoturvakeskuksessa
Microsoft Defender XDR Unified RBAC Valtuutus ja asetukset \ Suojausasetukset \ Tärkeimmät suojausasetukset (hallinta)
Valtuutus ja asetukset \ Suojausasetukset \ Tunnistuksen (hallinta)

Kysy defenderin asiantuntijoilta -sijainti

Ask Defender Experts -vaihtoehto on käytettävissä useissa paikoissa koko portaalissa:

  • Laitteen sivun toimintovalikko

Näyttökuva Kysy puolustajan asiantuntijoilta -valikkovaihtoehdosta laitteen sivun toimintovalikossa Microsoft Defender portaalissa.

  • Laitteen varastosivun pikaikkunavalikko

Näyttökuva Kysy puolustajan asiantuntijoilta -valikkovaihtoehdosta laitteen varastosivun pikaikkunassa Microsoft Defender portaalissa..

  • Ilmoitukset-sivun pikaikkunavalikko

Näyttökuva Kysy puolustajan asiantuntijoilta -valikkovaihtoehdosta ilmoitukset-sivun pikaikkunassa Microsoft Defender portaalissa..

  • Tapaukset-sivun toimintovalikko

Näyttökuva Kysy puolustajan asiantuntijoilta -valikkovaihtoehdosta Tapahtumat-sivun toimintovalikossa Microsoft Defender portaalissa..

Esimerkkikysymyksiä, joita voit esittää Defender-asiantuntijoilta

Ilmoitustiedot

  • Näimme uudenlaisen hälytyksen maan ulkopuoliselle binaarille. Voimme antaa ilmoituksen tunnuksen. Voitko kertoa meille lisää tästä ilmoituksesta ja siitä, liittyykö se johonkin tapaukseen ja miten voimme tutkia sitä tarkemmin?
  • Olemme havainneet kaksi samanlaista hyökkäystä, jotka molemmat yrittävät suorittaa haitallisia PowerShell-komentosarjoja, mutta luovat erilaisia ilmoituksia. Toinen on Epäilyttävä PowerShell-komentorivi ja toinen on "Haitallinen tiedosto havaittiin Office 365 antaman merkinnän perusteella". Mitä eroa sillä on?
  • Saimme tänään parittoman ilmoituksen korkean profiilin käyttäjän laitteen epäonnistuneiden kirjautumisten epänormaalista määrästä. Näistä yrityksistä ei löydy lisätodisteita. Miten Microsoft Defender XDR nähdä nämä yritykset? Minkä tyyppisiä kirjautumisia valvotaan?
  • Voitko antaa enemmän kontekstia tai merkityksellisiä tietoja hälytyksestä ja siihen liittyvistä tapauksista, "Järjestelmäapuohjelman epäilyttävä käyttäytyminen havaittiin"?
  • Havaitsin ilmoituksen nimeltä "Edelleenlähetys-/uudelleenohjaussäännön luominen". Toiminta on hyvänlaatuista. Voitko kertoa, miksi sain hälytyksen?

Mahdollinen laitekomprosentti

  • Voitteko auttaa selittämään, miksi monissa organisaatiomme laitteissa on näkyvissä viesti tai ilmoitus tuntemattomasta prosessista? Arvostamme kaikkia syötteitä selventääksemme, liittyykö tämä viesti tai hälytys haitallisiin toimintaan tai tapauksiin.
  • Voitko auttaa vahvistamaan mahdollisen kompromissin seuraavassa järjestelmässä, joka on peräisin viime viikolta? Se käyttäytyy samalla tavalla kuin aiempi haittaohjelmien tunnistus samassa järjestelmässä kuusi kuukautta sitten.

Uhkien tiedustelutiedot

  • Havaitsimme tietojenkalastelusähköpostin, joka toimitti haitallisen Word asiakirjan käyttäjälle. Asiakirja aiheutti useita epäilyttäviä tapahtumia, jotka aiheuttivat useita hälytyksiä tietylle haittaohjelmaperheelle. Onko sinulla tietoja tästä haittaohjelmasta? Jos on, voitko lähettää linkin?
  • Näimme äskettäin blogikirjoituksen uhasta, joka kohdistuu alaamme. Voitko auttaa meitä ymmärtämään, mitä suojaa Microsoft Defender XDR tarjoaa tätä uhkanäyttelijää vastaan?
  • Havaitsimme äskettäin tietojenkalastelukampanjan, joka käytiin organisaatiotamme vastaan. Voitko kertoa, onko tämä kohdistettu erityisesti yrityksellemme vai vertikaalisesti?

Microsoft Defenderin etsintäasiantuntijat ilmoitusviestintää

  • Voiko tapausten käsittelyryhmä auttaa meitä käsittelemään saamaamme Defender Experts Notification -ilmoitusta?
  • Järjestelmä vastaanotti tämän Defender Experts Notification -ilmoituksen Microsoft Defenderin etsintäasiantuntijat. Meillä ei ole omaa tapausten käsittelyryhmää. Mitä voimme tehdä nyt ja miten voimme hillitä tapausta?
  • Microsoft Defenderin etsintäasiantuntijat on vastaanottanut Defender Experts -ilmoituksen. Mitä tietoja voit antaa meille, jotta voimme välittää ne tapausten käsittelyryhmällemme?

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.