Partage via

Collaborer avec des experts à la demande

  • Article

S’applique à :

Remarque

Demandez aux experts Defender est inclus dans votre abonnement Experts Defender pour la détection avec des allocations trimestrielles. Toutefois, il ne s’agit pas d’un service de réponse aux incidents de sécurité. Il vise à mieux comprendre les menaces complexes qui affectent votre organization. Engage avec votre propre équipe de réponse aux incidents de sécurité pour résoudre les problèmes urgents de réponse aux incidents de sécurité. Si vous n’avez pas votre propre équipe de réponse aux incidents de sécurité et que vous souhaitez l’aide de Microsoft, créez une demande de support dans le Premier Services Hub.

Sélectionnez Demander aux experts Defender directement dans le portail de sécurité Microsoft 365 pour obtenir des réponses rapides et précises à toutes vos questions sur la chasse aux menaces. Les experts peuvent fournir des informations pour mieux comprendre les menaces complexes auxquelles votre organization peut faire face. Demandez aux experts Defender de vous aider :

  • Collecter des informations supplémentaires sur les alertes et les incidents, y compris les causes racines et l’étendue
  • Clarifier les appareils, alertes ou incidents suspects et prendre les mesures suivantes si vous êtes confronté à un attaquant avancé
  • Déterminer les risques et les protections disponibles liés aux acteurs des menaces, aux campagnes ou aux techniques d’attaquant émergentes

Capture d’écran de la boîte de dialogue Demander aux experts Defender.

Autorisations requises pour utiliser Ask Defender Experts

Vous devez sélectionner l’un des rôles de Microsoft Entra ID suivants pour afficher et envoyer des demandes à nos experts Defender.

Microsoft Entra ID rôle Niveau d’autorisation
Lecteur global, Lecteur de sécurité Lire les demandes de renseignements
Global Administration, Security Administration, Security Operator Lire et envoyer des demandes de renseignements

Pour en savoir plus sur la façon dont Microsoft Entra ID rôles sont mappés à Microsoft Defender autorisations RBAC unifiées, consultez Microsoft Entra accès aux rôles globaux.

Spécialistes des menaces Microsoft clients qui utilisent la fonctionnalité Demander aux experts Defender pourront également utiliser les autorisations suivantes à partir de Microsoft Defender XDR RBAC unifié.

Microsoft Defender XDR rôle RBAC unifié Niveau d’autorisation
Principes de base des données de sécurité Lire
Alertes, réponse Lire et envoyer

Où envoyer des demandes de renseignements à Demander aux experts Defender

L’option Demander aux experts Defender est disponible à plusieurs endroits dans le portail :

  • Menu Actions de la page de l’appareil :

    Capture d’écran de l’option de menu Demander aux experts Defender dans le menu d’action de la page Appareil du portail Microsoft Defender.

  • Menu volant de la page d’inventaire des appareils :

    Capture d’écran de l’option de menu Demander aux experts Defender dans le menu volant de la page Inventaire des appareils dans le portail Microsoft Defender.

  • Menu volant de la page Alertes :

    Capture d’écran de l’option de menu Demander aux experts Defender dans le menu volant de la page Alertes du portail Microsoft Defender.

  • Menu actions de la page Incidents :

    Capture d’écran de l’option de menu Demander aux experts Defender dans le menu Actions de la page Incidents du portail Microsoft Defender.

Où afficher les réponses des experts Defender

Dans le portail

Vous pouvez afficher les réponses aux demandes envoyées à Demander aux experts Defender depuis un maximum de six mois en accédant aux messages Rapports>Defender Experts. Vous serez également en mesure de poser des questions ou de répondre avec plus d’informations aux experts Defender à partir de cette page.

Capture d’écran de la réponse gérée dans le portail.

E-mail

Si vous avez inclus des adresses e-mail de contact lors de l’envoi de votre demande, ils recevront une notification par e-mail lorsqu’une réponse de Defender Experts est publiée.

Capture d’écran de la réponse gérée basée sur l’e-mail.

Remarque

Les experts Defender ne seront pas en mesure de vous aider à vous renseigner sur les bogues ou les problèmes de votre expérience produit dans le portail Microsoft Defender XDR. Vous pouvez contacter Support Microsoft via le Services Hub pour de telles demandes.

Exemples de questions que vous pouvez poser auprès des experts Defender

Informations d’alerte

  • Nous avons vu un nouveau type d’alerte pour un binaire vivant. Nous pouvons fournir l’ID d’alerte. Pouvez-vous nous en dire plus sur cette alerte et si elle est liée à un incident et comment nous pouvons l’examiner plus en détail ?
  • Nous avons observé deux attaques similaires, qui tentent toutes deux d’exécuter des scripts PowerShell malveillants, mais génèrent des alertes différentes. L’une est « ligne de commande PowerShell suspecte » et l’autre est « Un fichier malveillant a été détecté en fonction de l’indication fournie par Office 365 ». Quelle est la différence ?
  • Nous avons reçu une alerte étrange aujourd’hui concernant un nombre anormal d’échecs de connexion à partir de l’appareil d’un utilisateur de haut niveau. Nous ne trouvons aucune preuve supplémentaire pour ces tentatives. Comment Microsoft Defender XDR pouvez-vous voir ces tentatives ? Quel type de connexion est surveillé ?
  • Pouvez-vous donner plus de contexte ou d’informations sur l’alerte et les incidents associés, « Un comportement suspect par un utilitaire système a été observé » ?
  • J’ai observé une alerte intitulée « Création d’une règle de transfert/redirection ». Je crois que l’activité est sans gravité. Pouvez-vous me dire pourquoi j’ai reçu une alerte ?

Compromission possible de l’appareil

  • Pouvez-vous nous expliquer pourquoi nous voyons un message ou une alerte pour « Processus inconnu observé » sur de nombreux appareils de notre organization ? Nous apprécions toute contribution pour clarifier si ce message ou cette alerte est lié à une activité ou à des incidents malveillants.
  • Pouvez-vous aider à valider un compromis possible sur le système suivant, datant de la semaine dernière ? Il se comporte de la même façon qu’une détection de programme malveillant précédente sur le même système il y a six mois.

Détails du renseignement sur les menaces

  • Nous avons détecté un e-mail d’hameçonnage qui a remis un document Word malveillant à un utilisateur. Le document a provoqué une série d’événements suspects, qui ont déclenché plusieurs alertes pour une famille de programmes malveillants particulière. Avez-vous des informations sur ce programme malveillant ? Si oui, pouvez-vous nous envoyer un lien ?
  • Nous avons récemment vu un billet de blog sur une menace qui cible notre industrie. Pouvez-vous nous aider à comprendre la protection Microsoft Defender XDR contre cet acteur de menace ?
  • Nous avons récemment observé une campagne d’hameçonnage menée contre nos organization. Pouvez-vous nous dire si cela a été ciblé spécifiquement sur notre entreprise ou vertical ?

communications d’alerte Experts Microsoft Defender pour la détection

  • Votre équipe de réponse aux incidents peut-elle nous aider à traiter la notification des experts Defender que nous avons obtenue ?
  • Nous avons reçu cette notification d’experts Defender de Experts Microsoft Defender pour la détection. Nous n’avons pas notre propre équipe de réponse aux incidents. Que pouvons-nous faire maintenant et comment pouvons-nous contenir l’incident ?
  • Nous avons reçu une notification d’experts Defender de Experts Microsoft Defender pour la détection. Quelles données pouvez-vous nous fournir que nous pouvons transmettre à notre équipe de réponse aux incidents ?

Étape suivante

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.