必要に応じて専門家と共同作業する

  • [アーティクル]

適用対象:

注:

Ask Defender Experts は、毎月の割り当てでDefender エキスパートによる追求 サブスクリプションに含まれています。 ただし、セキュリティ インシデント対応サービスではありません。 これは、organizationに影響を与える複雑な脅威をより深く理解することを目的としています。 緊急のセキュリティ インシデント対応の問題に対処するために、独自のセキュリティ インシデント対応チームとEngageします。 独自のセキュリティ インシデント対応チームがなく、Microsoft のサポートを希望する場合は、 Premier Services Hub でサポート リクエストを作成します。

[Microsoft 365 セキュリティ ポータル内で Defender エキスパート に直接質問する] を選択して、すべての脅威ハンティングの質問に対して迅速かつ正確な回答を得ることができます。 エキスパートは、organizationが直面する可能性がある複雑な脅威をより深く理解するための分析情報を提供できます。 Defender エキスパートに質問すると、次のことができます。

  • 根本原因やスコープなど、アラートとインシデントに関する追加情報を収集する
  • 不審なデバイス、アラート、インシデントを明確にし、高度な攻撃者に直面した場合は次の手順を実行します
  • 脅威アクター、キャンペーン、または新たな攻撃者手法に関連するリスクと使用可能な保護を決定する

[Ask Defender Experts]\(Defender エキスパートに質問\) パネルで問い合わせを送信するために必要なアクセス許可

Defender エキスパートに問い合わせを送信する前に、次のいずれかのアクセス許可を選択する必要があります。 ロールベースのアクセス制御 (RBAC) のアクセス許可の詳細については、「Microsoft Defender for EndpointとMICROSOFT DEFENDER XDR RBAC のアクセス許可」を参照してください。

製品名 製品 RBAC アクセス許可
RBAC のMicrosoft Defender for Endpoint Security Center でセキュリティ設定を管理する
統合 RBAC のMicrosoft Defender XDR 承認と設定 \ セキュリティ設定 \ コア セキュリティ設定 (管理)
承認と設定 \ セキュリティ設定 \ 検出チューニング (管理)

Defender エキスパートに質問する場所

Defender エキスパートに質問するオプションは、ポータル全体のいくつかの場所で利用できます。

  • [デバイス ページのアクション] メニュー

Microsoft Defender ポータルの [デバイス] ページ アクション メニューの [Defender Experts に問い合わせ] メニュー オプションのスクリーンショット。

  • デバイス インベントリ ページのポップアップ メニュー

Microsoft Defender ポータルの [デバイス インベントリ] ページのポップアップ メニューの [Defender エキスパートに質問する] メニュー オプションのスクリーンショット。

  • [アラート] ページのポップアップ メニュー

Microsoft Defender ポータルの [アラート] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。

  • [インシデント] ページのアクション メニュー

Microsoft Defender ポータルの [インシデント] ページの [アクション] メニューの [Defender エキスパートに質問する] メニュー オプションのスクリーンショット。

Defender エキスパートから質問できるサンプルの質問

アラート情報

  • 私たちは、土地外の生活バイナリに対する新しい種類のアラートを見ました。 アラート ID を指定できます。 このアラートの詳細と、それがインシデントに関連するかどうか、さらに調査する方法について教えてください。
  • 同様の 2 つの攻撃が見られ、どちらも悪意のある PowerShell スクリプトを実行しようとしますが、異なるアラートが生成されます。 1 つは "疑わしい PowerShell コマンド ライン" で、もう 1 つは "Office 365によって提供された指示に基づいて悪意のあるファイルが検出されました" です。違いは何ですか?
  • 今日、プロファイルの高いユーザーのデバイスから、失敗したログインの異常な数に関する奇妙なアラートを受け取っています。 これらの試みに対するそれ以上の証拠は見つかりません。 これらの試行Microsoft Defender XDR確認するにはどうすればよいですか? 監視されているログインの種類は何ですか?
  • アラートと関連するインシデントに関するより多くのコンテキストまたは分析情報を提供できますか。"システム ユーティリティによる不審な動作が観察されました"。
  • "転送/リダイレクト ルールの作成" というタイトルのアラートを観察しました。 私は活動が良性であると信じています。 アラートを受け取った理由を教えてください。

デバイスの侵害の可能性

  • organizationの多くのデバイスに "不明なプロセスが観察されました" というメッセージまたはアラートが表示される理由を説明してください。 このメッセージまたはアラートが悪意のあるアクティビティやインシデントに関連しているかどうかを明確にするための入力に感謝します。
  • 次のシステムで、先週からの侵害の可能性を検証するのに役立ちますか? これは、6か月前に同じシステム上で以前のマルウェア検出と同様に動作しています。

脅威インテリジェンスの詳細

  • 悪意のあるWordドキュメントをユーザーに配信するフィッシングメールを検出しました。 このドキュメントによって一連の不審なイベントが発生し、特定のマルウェア ファミリに対して複数のアラートがトリガーされました。 このマルウェアに関する情報はありますか? はいの場合は、リンクをお送りください。
  • 最近、業界をターゲットにしている脅威に関するブログ記事を見ました。 この脅威アクターに対してMicrosoft Defender XDRはどのような保護が提供されるかを理解するのに役立ちますか?
  • 私たちは最近、organizationに対して行われたフィッシングキャンペーンを観察しました。 これは、特に当社または垂直を対象としていたかどうかを教えてください。

アラート通信のMicrosoft Defender エキスパートによる追求

  • インシデント対応チームは、私たちが受け取った Defender エキスパート通知に対処するのに役立ちますか?
  • この Defender Experts 通知は、Microsoft Defender エキスパートによる追求から受け取っています。 独自のインシデント対応チームはありません。 今何ができるか、インシデントをどのように封じ込めることができるでしょうか。
  • Microsoft Defender エキスパートによる追求から Defender Experts 通知を受け取っています。 インシデント対応チームに渡すことができるデータは何ですか?

次の手順

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします