Samarbeid med eksperter på forespørsel
Gjelder for:
Obs!
Spør Defender-eksperter er inkludert i Defender jakteksperter-abonnementet med kvartalsvise tildelinger. Det er imidlertid ikke en sikkerhetshendelsesresponstjeneste. Det er ment å gi en bedre forståelse av komplekse trusler som påvirker organisasjonen. Engage med ditt eget responsteam for sikkerhetshendelser for å løse hasteproblemer med sikkerhetshendelser. Hvis du ikke har ditt eget team for sikkerhetshendelser og vil ha Microsofts hjelp, kan du opprette en støtteforespørsel i Premier Services Hub.
Velg Spør Defender-eksperter direkte i sikkerhetsportalen for Microsoft 365 for å få raske og nøyaktige svar på alle spørsmål om trusseljakt. Eksperter kan gi innsikt for å bedre forstå de komplekse truslene organisasjonen kan møte. Spør Defender-eksperter kan hjelpe:
- Samle inn tilleggsinformasjon om varsler og hendelser, inkludert grunnårsaker og omfang
- Få klarhet i mistenkelige enheter, varsler eller hendelser, og ta de neste trinnene hvis du står overfor en avansert angriper
- Fastslå risikoer og tilgjengelige beskyttelser relatert til trusselaktører, kampanjer eller nye angriperteknikker
Nødvendige tillatelser for bruk av Spør Defender-eksperter
Du må velge en av følgende Microsoft Entra ID roller for å vise og sende forespørsler til våre Defender-eksperter.
Microsoft Entra ID rolle | Tillatelsesnivået |
---|---|
Global leser, sikkerhetsleser | Lese forespørsler |
Global Admin, Security Admin, Security Operator | Lese og sende forespørsler |
Hvis du vil lære mer om hvordan Microsoft Entra ID roller tilordnes til Microsoft Defender Unified RBAC-tillatelser, kan du se Microsoft Entra global rolletilgang.
Her sender du forespørsler til Spør Defender-eksperter
Alternativet Spør Defender-eksperter er tilgjengelig flere steder i portalen:
Handlingsmeny for enhetsside:
Undermeny for enhetslagerside:
Undermeny for varslingsside:
Handlingsmeny for hendelser-siden:
Her kan du se svar fra Defender Experts
I portalen
Du kan vise svar på forespørsler sendt til Spør Defender-eksperter fra opptil seks måneder siden ved å navigere til meldinger fra Reports>Defender Experts. Du kan også stille oppfølgingsspørsmål eller svare med mer informasjon til Defender-eksperter fra denne siden.
E-post
Hvis du inkluderte kontakt-e-postadresser når du sendte inn forespørselen, vil de motta et e-postvarsel når et svar fra Defender-eksperter publiseres.
Obs!
Defender-eksperter vil ikke kunne hjelpe deg med forespørsler om feil eller problemer i produktopplevelsen i Microsoft Defender XDR-portalen. Du kan kontakte Microsoft Kundestøtte via Services Hub angående slike henvendelser.
Eksempelspørsmål du kan stille fra Defender-eksperter
Varselinformasjon
- Vi så en ny type varsel for en levende-off-the-land binær. Vi kan oppgi varsel-ID-en. Kan du fortelle oss mer om dette varselet, og om det er relatert til en hendelse og hvordan vi kan undersøke det videre?
- Vi har observert to lignende angrep, som begge prøver å utføre skadelige PowerShell-skript, men genererer forskjellige varsler. Den ene er «Mistenkelig PowerShell-kommandolinje» og den andre er «En ondsinnet fil ble oppdaget basert på indikasjon gitt av Office 365». Hva er forskjellen?
- Vi fikk et merkelig varsel i dag om et unormalt antall mislykkede pålogginger fra en høyprofilert brukers enhet. Vi finner ingen ytterligere bevis for disse forsøkene. Hvordan kan Microsoft Defender XDR se disse forsøkene? Hvilken type pålogginger overvåkes?
- Kan du gi mer kontekst eller innsikt om varselet og eventuelle relaterte hendelser: «Mistenkelig oppførsel fra et systemverktøy ble observert»?
- Jeg observerte et varsel med tittelen «Opprettelse av videresendings-/omdirigeringsregel». Jeg tror aktiviteten er godartet. Kan du fortelle meg hvorfor jeg fikk et varsel?
Mulig enhetskompromiss
- Kan du forklare hvorfor vi ser en melding eller et varsel for «Ukjent prosess observert» på mange enheter i organisasjonen? Vi setter pris på eventuelle innspill for å klargjøre om denne meldingen eller varselet er relatert til ondsinnet aktivitet eller hendelser.
- Kan du bidra til å validere et mulig kompromiss på følgende system, fra forrige uke? Det oppfører seg på samme måte som en tidligere malware deteksjon på samme system seks måneder siden.
Detaljer om trusselintelligens
- Vi oppdaget en phishing-e-post som leverte et skadelig Word dokument til en bruker. Dokumentet forårsaket en rekke mistenkelige hendelser, som utløste flere varsler for en bestemt malware familie. Har du informasjon om denne skadelige programvaren? Hvis ja, kan du sende oss en kobling?
- Vi har nylig sett et blogginnlegg om en trussel som er rettet mot vår bransje. Kan du hjelpe oss med å forstå hvilken beskyttelse Microsoft Defender XDR gir mot denne trusselaktøren?
- Vi har nylig observert en phishing-kampanje utført mot organisasjonen vår. Kan du fortelle oss om dette var spesifikt rettet mot firmaet eller loddrett?
Microsoft Defender jakteksperter varselkommunikasjon
- Kan responsteamet for hendelser hjelpe oss med å ta opp defender-ekspertvarslingen vi har?
- Vi mottok dette Defender Experts-varselet fra Microsoft Defender jakteksperter. Vi har ikke vårt eget team for hendelsesrespons. Hva kan vi gjøre nå, og hvordan kan vi inneholde hendelsen?
- Vi mottok et Varsel om Defender-eksperter fra Microsoft Defender jakteksperter. Hvilke data kan du gi oss som vi kan sende videre til vårt team for hendelsesrespons?
Neste trinn:
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.