Collaborer avec des experts à la demande

  • Article

S’applique à :

Remarque

Ask Defender Experts est inclus dans votre abonnement Experts Defender pour la détection avec des allocations mensuelles. Toutefois, il ne s’agit pas d’un service de réponse aux incidents de sécurité. Il vise à mieux comprendre les menaces complexes qui affectent votre organization. Engage avec votre propre équipe de réponse aux incidents de sécurité pour résoudre les problèmes urgents de réponse aux incidents de sécurité. Si vous n’avez pas votre propre équipe de réponse aux incidents de sécurité et que vous souhaitez l’aide de Microsoft, créez une demande de support dans le Premier Services Hub.

Sélectionnez Demander aux experts Defender directement dans le portail de sécurité Microsoft 365 pour obtenir des réponses rapides et précises à toutes vos questions sur la chasse aux menaces. Les experts peuvent fournir des informations pour mieux comprendre les menaces complexes auxquelles votre organization peut faire face. Demandez aux experts Defender de vous aider :

  • Collecter des informations supplémentaires sur les alertes et les incidents, y compris les causes racines et l’étendue
  • Clarifier les appareils, alertes ou incidents suspects et prendre les mesures suivantes si vous êtes confronté à un attaquant avancé
  • Déterminer les risques et les protections disponibles liés aux acteurs des menaces, aux campagnes ou aux techniques d’attaquant émergentes

Autorisations requises pour envoyer des demandes de renseignements dans le panneau Demander des experts Defender

Vous devez sélectionner l’une des autorisations suivantes avant d’envoyer des demandes à nos experts Defender. Pour plus d’informations sur les autorisations de contrôle d’accès en fonction du rôle (RBAC), consultez : Microsoft Defender pour point de terminaison et Microsoft Defender XDR autorisations RBAC.

Nom du produit Autorisation RBAC du produit
Microsoft Defender pour point de terminaison RBAC Gérer les paramètres de sécurité dans Security Center
RBAC unifié Microsoft Defender XDR Autorisation et paramètres \ Paramètres de sécurité \ Paramètres de sécurité principaux (gérer)
Autorisation et paramètres \ Paramètres de sécurité \ Réglage de la détection (gérer)

Où trouver demander aux experts Defender

L’option Demander aux experts Defender est disponible à plusieurs endroits dans le portail :

  • Menu Actions de la page de l’appareil

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu d’action de la page Appareil du portail Microsoft Defender.

  • Menu volant de la page Inventaire des appareils

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu volant de la page Inventaire des appareils dans le portail Microsoft Defender.

  • Menu volant de la page Alertes

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu volant de la page Alertes du portail Microsoft Defender.

  • Menu actions de la page Incidents

Capture d’écran de l’option de menu Demander aux experts Defender dans le menu Actions de la page Incidents du portail Microsoft Defender.

Exemples de questions que vous pouvez poser auprès des experts Defender

Informations d’alerte

  • Nous avons vu un nouveau type d’alerte pour un binaire vivant. Nous pouvons fournir l’ID d’alerte. Pouvez-vous nous en dire plus sur cette alerte et si elle est liée à un incident et comment nous pouvons l’examiner plus en détail ?
  • Nous avons observé deux attaques similaires, qui tentent toutes deux d’exécuter des scripts PowerShell malveillants, mais génèrent des alertes différentes. L’une est « ligne de commande PowerShell suspecte » et l’autre est « Un fichier malveillant a été détecté en fonction de l’indication fournie par Office 365 ». Quelle est la différence ?
  • Nous avons reçu une alerte étrange aujourd’hui concernant un nombre anormal d’échecs de connexion à partir de l’appareil d’un utilisateur de haut niveau. Nous ne trouvons aucune preuve supplémentaire pour ces tentatives. Comment Microsoft Defender XDR pouvez-vous voir ces tentatives ? Quel type de connexion est surveillé ?
  • Pouvez-vous donner plus de contexte ou d’informations sur l’alerte et les incidents associés, « Un comportement suspect par un utilitaire système a été observé » ?
  • J’ai observé une alerte intitulée « Création d’une règle de transfert/redirection ». Je crois que l’activité est sans gravité. Pouvez-vous me dire pourquoi j’ai reçu une alerte ?

Compromission possible de l’appareil

  • Pouvez-vous nous expliquer pourquoi nous voyons un message ou une alerte pour « Processus inconnu observé » sur de nombreux appareils de notre organization ? Nous apprécions toute contribution pour clarifier si ce message ou cette alerte est lié à une activité ou à des incidents malveillants.
  • Pouvez-vous aider à valider un compromis possible sur le système suivant, datant de la semaine dernière ? Il se comporte de la même façon qu’une détection de programme malveillant précédente sur le même système il y a six mois.

Détails du renseignement sur les menaces

  • Nous avons détecté un e-mail d’hameçonnage qui a remis un document Word malveillant à un utilisateur. Le document a provoqué une série d’événements suspects, qui ont déclenché plusieurs alertes pour une famille de programmes malveillants particulière. Avez-vous des informations sur ce programme malveillant ? Si oui, pouvez-vous nous envoyer un lien ?
  • Nous avons récemment vu un billet de blog sur une menace qui cible notre industrie. Pouvez-vous nous aider à comprendre la protection Microsoft Defender XDR contre cet acteur de menace ?
  • Nous avons récemment observé une campagne d’hameçonnage menée contre nos organization. Pouvez-vous nous dire si cela a été ciblé spécifiquement sur notre entreprise ou vertical ?

communications d’alerte Experts Microsoft Defender pour la détection

  • Votre équipe de réponse aux incidents peut-elle nous aider à traiter la notification des experts Defender que nous avons obtenue ?
  • Nous avons reçu cette notification d’experts Defender de Experts Microsoft Defender pour la détection. Nous n’avons pas notre propre équipe de réponse aux incidents. Que pouvons-nous faire maintenant et comment pouvons-nous contenir l’incident ?
  • Nous avons reçu une notification d’experts Defender de Experts Microsoft Defender pour la détection. Quelles données pouvez-vous nous fournir que nous pouvons transmettre à notre équipe de réponse aux incidents ?

Étape suivante

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.