Collaborer avec des experts à la demande
S’applique à :
Remarque
Ask Defender Experts est inclus dans votre abonnement Defender Experts for Hunting avec des allocations mensuelles. Toutefois, il ne s’agit pas d’un service de réponse aux incidents de sécurité. Il est destiné à fournir une meilleure compréhension des menaces complexes affectant votre organisation. Collaborez avec votre propre équipe de réponse aux incidents de sécurité pour résoudre les problèmes urgents de réponse aux incidents de sécurité. Si vous n’avez pas votre propre équipe de réponse aux incidents de sécurité et que vous souhaitez l’aide de Microsoft, créez une demande de support dans le Premier Services Hub.
Sélectionnez Demander aux experts Defender directement dans le portail de sécurité Microsoft 365 pour obtenir des réponses rapides et précises à toutes vos questions sur la chasse aux menaces. Les experts peuvent fournir des informations pour mieux comprendre les menaces complexes auxquelles votre organisation peut être confrontée. Demandez aux experts Defender de vous aider :
- Collecter des informations supplémentaires sur les alertes et les incidents, y compris les causes racines et l’étendue
- Clarifier les appareils, alertes ou incidents suspects et prendre les mesures suivantes si vous êtes confronté à un attaquant avancé
- Déterminer les risques et les protections disponibles liés aux acteurs des menaces, aux campagnes ou aux techniques d’attaquant émergentes
Autorisations requises pour envoyer des demandes de renseignements dans le panneau Demander des experts Defender
Vous devez sélectionner l’une des autorisations suivantes avant d’envoyer des demandes à nos experts Defender. Pour plus d’informations sur les autorisations de contrôle d’accès en fonction du rôle (RBAC), consultez : Autorisations RBAC Microsoft Defender pour point de terminaison et Microsoft Defender XDR.
| Nom du produit | Autorisation RBAC du produit |
|---|---|
| RBAC Microsoft Defender pour point de terminaison | Gérer les paramètres de sécurité dans Security Center |
| RBAC unifié Microsoft Defender XDR | Autorisation et paramètres \ Paramètres de sécurité \ Paramètres de sécurité principaux (gérer)Autorisation et paramètres \ Paramètres de sécurité \ Réglage de la détection (gérer) |
Où trouver demander aux experts Defender
L’option Demander aux experts Defender est disponible à plusieurs endroits dans le portail :
Menu Actions de la page de l’appareil :
Menu volant de la page d’inventaire des appareils :
Menu volant de la page Alertes :
Menu actions de la page Incidents :
Exemples de questions que vous pouvez poser auprès des experts Defender
Informations d’alerte
- Nous avons vu un nouveau type d’alerte pour un binaire vivant. Nous pouvons fournir l’ID d’alerte. Pouvez-vous nous en dire plus sur cette alerte et si elle est liée à un incident et comment nous pouvons l’examiner plus en détail ?
- Nous avons observé deux attaques similaires, qui tentent toutes deux d’exécuter des scripts PowerShell malveillants, mais génèrent des alertes différentes. L’une est « ligne de commande PowerShell suspecte » et l’autre est « Un fichier malveillant a été détecté sur la base d’une indication fournie par Office 365 ». Quelle est la différence ?
- Nous avons reçu une alerte étrange aujourd’hui concernant un nombre anormal d’échecs de connexion à partir de l’appareil d’un utilisateur de haut niveau. Nous ne trouvons aucune preuve supplémentaire pour ces tentatives. Comment Microsoft Defender XDR peut-il voir ces tentatives ? Quel type de connexion est surveillé ?
- Pouvez-vous donner plus de contexte ou d’informations sur l’alerte et les incidents associés, « Un comportement suspect par un utilitaire système a été observé » ?
- J’ai observé une alerte intitulée « Création d’une règle de transfert/redirection ». Je crois que l’activité est sans gravité. Pouvez-vous me dire pourquoi j’ai reçu une alerte ?
Compromission possible de l’appareil
- Pouvez-vous nous expliquer pourquoi nous voyons un message ou une alerte pour « Processus inconnu observé » sur de nombreux appareils de notre organisation ? Nous apprécions toute contribution pour clarifier si ce message ou cette alerte est lié à une activité ou à des incidents malveillants.
- Pouvez-vous aider à valider un compromis possible sur le système suivant, datant de la semaine dernière ? Il se comporte de la même façon qu’une détection de programme malveillant précédente sur le même système il y a six mois.
Détails du renseignement sur les menaces
- Nous avons détecté un e-mail d’hameçonnage qui a remis un document Word malveillant à un utilisateur. Le document a provoqué une série d’événements suspects, qui ont déclenché plusieurs alertes pour une famille de programmes malveillants particulière. Avez-vous des informations sur ce programme malveillant ? Si oui, pouvez-vous nous envoyer un lien ?
- Nous avons récemment vu un billet de blog sur une menace qui cible notre industrie. Pouvez-vous nous aider à comprendre la protection de Microsoft Defender XDR contre cet acteur de menace ?
- Nous avons récemment observé une campagne d’hameçonnage menée contre notre organisation. Pouvez-vous nous dire si cela a été ciblé spécifiquement sur notre entreprise ou vertical ?
Microsoft Defender Experts for Hunting alert communications
- Votre équipe de réponse aux incidents peut-elle nous aider à traiter la notification des experts Defender que nous avons obtenue ?
- Nous avons reçu cette notification d’experts Defender de Microsoft Defender Experts for Hunting. Nous n’avons pas notre propre équipe de réponse aux incidents. Que pouvons-nous faire maintenant et comment pouvons-nous contenir l’incident ?
- Nous avons reçu une notification d’experts Defender de Microsoft Defender Experts for Hunting. Quelles données pouvez-vous nous fournir que nous pouvons transmettre à notre équipe de réponse aux incidents ?
Étape suivante
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.