Pergunte a especialistas do Defender

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

A partir de agosto de 2022, a opção Especialistas sob Demanda para Consultar um especialista em ameaças foi renomeada para Perguntar Especialistas do Defender. Essa documentação ainda está aqui para dar suporte ao serviço de Especialistas em Ameaças da Microsoft herdado, no entanto, se você estiver interessado em explorar o serviço além da licença atual, consulte Especialistas do Microsoft Defender para Busca. Especialistas do Microsoft Defender para Busca assinatura inclui Especialistas sob Demanda.

Os clientes podem envolver nossos especialistas em segurança diretamente de dentro Microsoft 365 Defender portal para obter sua resposta. Especialistas fornecem insights necessários para entender melhor as ameaças complexas que afetam sua organização, desde investigações de alerta, dispositivos potencialmente comprometidos, causa raiz de uma conexão de rede suspeita, até mais inteligência contra ameaças em relação a campanhas avançadas de ameaças persistentes em andamento. Com essa funcionalidade, você pode:

  • Obter mais esclarecimentos sobre alertas, incluindo causa raiz ou escopo do incidente
  • Obtenha clareza sobre o comportamento suspeito do dispositivo e as próximas etapas se enfrentar um invasor avançado
  • Determinar riscos e proteção em relação a atores de ameaças, campanhas ou técnicas de invasor emergentes

Observação

Especialistas sob demanda não é um serviço de resposta a incidentes de segurança. Ele pretende fornecer uma melhor compreensão das ameaças complexas que afetam sua organização. Envolva-se com sua própria equipe de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se você não tiver sua própria equipe de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie uma solicitação de suporte no Hub de Serviços Premier.

Pergunte aos Especialistas do Defender sobre atividades suspeitas de segurança cibernética em sua organização

Você pode fazer parceria com Microsoft Defender Experts que podem ser contratados diretamente de dentro do portal de Microsoft 365 Defender para sua resposta. Especialistas fornecem insights para entender melhor ameaças complexas, notificações de especialistas do Defender que você obtém ou se você precisar de mais informações sobre os alertas, um dispositivo potencialmente comprometido ou um contexto de inteligência contra ameaças que você vê no painel do portal.

Observação

  • Atualmente, não há suporte para consultas de alerta relacionadas aos dados personalizados de inteligência contra ameaças da sua organização. Consulte as operações de segurança ou a equipe de resposta a incidentes para obter detalhes.
  • Você precisa ter a permissão Gerenciar configurações de segurança no portal Microsoft 365 Defender para poder enviar o inquérito Solicitar especialistas do Defender.
  1. Navegue até a página do portal com as informações relevantes que você gostaria de investigar, por exemplo, a página Incidente . Verifique se a página do alerta ou dispositivo relevante está em exibição antes de enviar uma solicitação de investigação.

  2. No menu superior direito, clique no ícone ? Em seguida, selecione Perguntar Especialistas do Defender

O campo tópico Inquiry é pré-preenchido com o link para a página relevante para sua solicitação de investigação. Por exemplo, um link para a página de detalhes do incidente, alerta ou dispositivo em que você estava quando fez a solicitação.

  1. No próximo campo, forneça informações suficientes para fornecer a Microsoft Defender Especialistas contexto suficiente para iniciar a investigação.

  2. Insira o endereço de email que você gostaria de usar para corresponder com Microsoft Defender Experts. Verifique se o endereço de email é para uma conta com uma caixa de correio anexada a ela. Caso contrário, inclua um endereço de email com uma caixa de correio anexada.

Observação

Se você quiser acompanhar o status de seus casos de Especialistas sob Demanda por meio do Microsoft Services Hub, entre em contato com o Gerenciador de Contas de Sucesso do Cliente.

Assista a este vídeo para obter uma visão geral rápida do Hub de Serviços da Microsoft.

Exemplo de tópicos de investigação que você pode perguntar a especialistas do Defender

Informações de alerta

  • Vemos um novo tipo de alerta para um binário de vida fora da terra: [AlertID]. Pode nos dizer algo mais sobre esse alerta e como podemos investigar mais?
  • Observamos dois ataques semelhantes, que tentam executar scripts mal-intencionados do PowerShell, mas geram alertas diferentes. Uma é "Linha de comando suspeita do PowerShell" e a outra é "Um arquivo mal-intencionado foi detectado com base na indicação fornecida pelo O365". Qual é a diferença?
  • Recebo um alerta ímpar hoje para um número anormal de logons com falha do dispositivo de um usuário de alto perfil. Não consigo encontrar mais nenhuma evidência em torno dessas tentativas de entrada. Como o Defender para Ponto de Extremidade pode ver essas tentativas? Que tipo de entradas estão sendo monitoradas?
  • Você pode fornecer mais contexto ou insights sobre esse alerta: "O comportamento suspeito de um utilitário do sistema foi observado".

Possível comprometimento do dispositivo

  • Você pode ajudar a responder por que vemos "Processo desconhecido observado?" Essa mensagem ou alerta é visto com frequência em muitos dispositivos. Agradecemos qualquer entrada para esclarecer se essa mensagem ou alerta está relacionado à atividade mal-intencionada.
  • Você pode ajudar a validar um possível compromisso no sistema a seguir em [data] com comportamentos semelhantes à detecção de malware anterior [nome do malware] no mesmo sistema em [mês]?

Detalhes da inteligência contra ameaças

  • Detectamos um email de phishing que entregou um documento mal-intencionado do Word a um usuário. O documento mal-intencionado do Word causou uma série de eventos suspeitos, que dispararam vários alertas de Notificações de Ataque do Ponto de Extremidade para malware [nome do malware]. Você tem alguma informação sobre esse malware? Se sim, pode me enviar um link?
  • Recentemente vi uma postagem [referência de mídia social, por exemplo, Twitter ou blog] sobre uma ameaça que está mirando minha indústria. Você pode me ajudar a entender qual proteção o Defender para Ponto de Extremidade fornece contra esse ator de ameaça?

Comunicações de alerta dos Especialistas do Defender

  • Sua equipe de resposta a incidentes pode nos ajudar a resolver as Notificações de Ataque do Ponto de Extremidade que obtivemos?

  • Recebi estas notificações de ataque de ponto de extremidade de especialistas em segurança da Microsoft. Não temos nossa própria equipe de resposta a incidentes. O que podemos fazer agora, e como podemos conter o incidente?

  • Recebi notificações de ataque de ponto de extremidade de especialistas do Microsoft Defender. Quais dados você pode nos fornecer para que possamos passar para nossa equipe de resposta a incidentes?

    Observação

    Especialistas sob Demanda é um serviço gerenciado de caça à segurança cibernética e não um serviço de resposta a incidentes. No entanto, você pode se envolver com sua própria equipe de resposta a incidentes para resolver problemas que exigem uma resposta a incidentes. Se você não tiver sua própria equipe de resposta a incidentes e quiser a ajuda da Microsoft, poderá se envolver com a CIRT (Equipe de Resposta a Incidentes de Segurança Cibernética) do CSS. Eles podem abrir um tíquete para ajudar a resolver seu inquérito.

Cenário

Receber um relatório de progresso sobre seu inquérito de caça gerenciada

A resposta de especialistas do Microsoft Defender varia de acordo com seu inquérito. Eles enviarão um relatório de progresso para você sobre seu inquérito pergunte aos especialistas do Defender dentro de dois dias, para comunicar o status da investigação das seguintes categorias:

  • Mais informações são necessárias para continuar com a investigação
  • Um arquivo ou vários exemplos de arquivo são necessários para determinar o contexto técnico
  • Investigação requer mais tempo
  • As informações iniciais foram suficientes para concluir a investigação

É crucial responder rapidamente para manter a investigação em movimento.

Próximas etapas