Megosztás a következőn keresztül:

Együttműködés az igény szerinti szakértőkkel

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

A szakértők válaszolnak a Defender Hibakeresés-szakértők havi foglalásokkal rendelkező előfizetésében. Ez azonban nem biztonsági incidensmegoldási szolgáltatás. Célja, hogy jobban megértse a szervezetet érintő összetett fenyegetéseket. Engage a saját biztonsági incidensmegoldási csapatával, hogy elhárítsa a biztonsági incidensek sürgős elhárításával kapcsolatos problémákat. Ha nem rendelkezik saját biztonsági incidensmegoldási csapattal, és a Microsoft segítségére van szüksége, hozzon létre egy támogatási kérést a Premier services központban.

Válassza a Defender-szakértők megkérdezése lehetőséget közvetlenül a Microsoft 365 biztonsági portálján, hogy gyorsan és pontosan választ kapjon az összes veszélyforrás-keresési kérdésére. A szakértők betekintést nyújthatnak a szervezet által esetlegesen felmerülő összetett fenyegetések jobb megértéséhez. A Defender szakértői a következő segítségére lehetnek:

  • További információk gyűjtése a riasztásokról és incidensekről, beleértve a kiváltó okokat és a hatókört
  • Tisztázhatja a gyanús eszközöket, riasztásokat vagy incidenseket, és ha haladó támadóval szembesül, tegye meg a következő lépéseket
  • Veszélyforrás-szereplőkkel, kampányokkal vagy új támadói technikákkal kapcsolatos kockázatok és rendelkezésre álló védelem meghatározása

A lekérdezések elküldéséhez szükséges engedélyek a Defender-szakértők megkérdezése panelen

Az alábbi engedélyek egyikét kell kiválasztania, mielőtt lekérdezéseket küld a Defender szakértőinek. A szerepköralapú hozzáférés-vezérlési (RBAC)-engedélyekkel kapcsolatos további információkért lásd: RBAC-engedélyek Végponthoz készült Microsoft Defender és Microsoft Defender XDR.

Terméknév Termék RBAC-engedélye
Végponthoz készült Microsoft Defender RBAC Biztonsági beállítások kezelése a Security Centerben
egyesített RBAC Microsoft Defender XDR Engedélyezés és beállítások \ Biztonsági beállítások \ Alapvető biztonsági beállítások (kezelés)
Engedélyezés és beállítások \ Biztonsági beállítások \ Észlelés finomhangolása (kezelése)

Hol találhatók a Defender-szakértők válaszolnak?

A Defender-szakértők megkérdezése lehetőség a portálon több helyen is elérhető:

  • Eszközlapműveletek menü

Képernyőkép a Microsoft Defender portál Eszköz lapművelet menüjének Szakértők válaszolnak menüpontjáról.

  • Eszközleltár lap úszó menüje

Képernyőkép a Microsoft Defender portál Eszközleltár lapjának úszó menüjében található Szakértők válaszolnak menüpontról.

  • Riasztások lap úszó menüje

Képernyőkép a Microsoft Defender portál Riasztások lapjának úszó menüjében található Szakértők válaszolnak menüpontról.

  • Incidensek lapműveletek menü

Képernyőkép a Microsoft Defender Portal Incidensek lapműveletek menüjének Szakértők válaszolnak menüpontjáról.

A Defender szakértőitől feltehető mintakérdések

Riasztási információk

  • Láttunk egy új típusú riasztást egy élő-off-the-land bináris. Meg tudjuk adni a riasztás azonosítóját. Tud nekünk többet mondani erről a riasztásról, és hogy kapcsolódik-e valamilyen incidenshez, és hogyan vizsgálhatjuk tovább?
  • Két hasonló támadást észleltünk, amelyek mindegyike rosszindulatú PowerShell-szkripteket próbál végrehajtani, de különböző riasztásokat hoz létre. Az egyik a "Gyanús PowerShell-parancssor", a másik pedig "A rendszer kártékony fájlt észlelt a Office 365 által megadott jelzés alapján." Mi a különbség?
  • Ma szokatlan riasztást kaptunk egy nagy profilú felhasználó eszközéről érkező sikertelen bejelentkezések rendellenes számáról. Nem találunk további bizonyítékot ezekre a kísérletekre. Hogyan tekintheti meg ezeket a kísérleteket Microsoft Defender XDR? Milyen típusú bejelentkezéseket figyel a rendszer?
  • Tud-e több kontextust vagy megállapítást adni a riasztással és a kapcsolódó incidensekkel kapcsolatban: "Gyanús viselkedést észlelt egy rendszer-segédprogram"?
  • Egy "Továbbítási/átirányítási szabály létrehozása" nevű riasztást észleltem. Szerintem a tevékenység jóindulatú. Meg tudja mondani, miért kaptam riasztást?

Lehetséges eszközmegsértés

  • Segíthet elmagyarázni, hogy miért jelenik meg "Ismeretlen folyamat észlelhető" üzenet vagy riasztás a szervezet számos eszközén? Nagyra értékeljük a bemenetet annak tisztázásához, hogy ez az üzenet vagy riasztás rosszindulatú tevékenységhez vagy incidensekhez kapcsolódik-e.
  • Tud segíteni a következő, múlt hétről származó esetleges biztonsági rés érvényesítésében? Hasonlóan viselkedik, mint egy korábbi kártevőészlelés ugyanazon a rendszeren hat hónappal ezelőtt.

Fenyegetésfelderítés részletei

  • Adathalász e-mailt észleltünk, amely rosszindulatú Word dokumentumot küldött egy felhasználónak. A dokumentum gyanús események sorozatát okozta, amelyek több riasztást indítottak egy adott kártevőcsaládra vonatkozóan. Van bármilyen információja erről a kártevőről? Ha igen, küldhet nekünk egy hivatkozást?
  • Nemrég láttunk egy blogbejegyzést egy olyan fenyegetésről, amely az iparágunkat célozza. Tud segíteni nekünk megérteni, hogy milyen védelmet nyújt Microsoft Defender XDR a fenyegetési szereplő ellen?
  • Nemrégiben adathalász kampányt észleltünk szervezetünk ellen. Meg tudja mondani, hogy ez kifejezetten a cégünkre vagy a vertikálisra irányult?

riasztási kommunikáció Microsoft Defender Hibakeresés-szakértők

  • Segíthet az incidensmegoldási csapata a Kapott Defender-szakértők értesítésének megválaszolásában?
  • Ezt a Defender-szakértői értesítést Microsoft Defender Hibakeresés-szakértők kaptuk. Nincs saját incidensmegoldási csapatunk. Mit tehetünk most, és hogyan tudjuk megfékezni az incidenst?
  • A Defender szakértői értesítést kaptunk Microsoft Defender Hibakeresés-szakértők. Milyen adatokat adhat meg nekünk, amelyeket továbbíthatunk az incidensmegoldási csapatnak?

További lépés

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.