Comece a usar Especialistas do Microsoft Defender para Busca
Aplica-se a:
Integração
Se você for novo para Microsoft 365 Defender e especialistas do Defender para Caça:
- Ao receber seu email de boas-vindas, selecione Fazer logon em Microsoft 365 Defender.
- Entre se você já tiver uma conta da Microsoft. Se nenhum, crie um.
- O Microsoft 365 Defender tour rápido vai familiarizar você com o pacote de segurança, onde as funcionalidades são e o quão importantes elas são. Selecione Fazer um tour rápido.
- Leia as descrições curtas sobre o que é o serviço Microsoft Defender Experts e os recursos que ele fornece. Selecione Avançar. Você verá a página de boas-vindas:
Receber Notificações de Especialistas do Defender
O serviço Notificações de Especialistas do Defender inclui:
- Monitoramento e análise de ameaças, reduzindo o tempo de habitação e o risco para sua empresa
- Inteligência artificial treinada por caçadores para descobrir e direcionar ataques conhecidos e ameaças emergentes
- Identificação dos riscos mais pertinentes, ajudando os SOCs a maximizar sua eficácia
- Ajuda no escopo de compromissos e o máximo de contexto que pode ser entregue rapidamente para habilitar uma resposta rápida do SOC
Consulte a captura de tela a seguir para ver uma notificação de especialistas do Defender:
Onde você encontrará notificações de especialistas do Defender
Você pode receber Notificações de Especialistas do Defender por meio dos seguintes meios:
- A página Incidentes do portal Microsoft 365 Defender
- A página Alertas do portal Microsoft 365 Defender
- OData alertando a API e a API REST
- Tabela DeviceAlertEvents na caça avançada
- Seu email se você configurar uma regra de notificações por email
Filtrar para exibir apenas as Notificações de Especialistas do Defender
Você pode filtrar seus incidentes e alertas se quiser ver apenas as Notificações de Especialistas do Defender entre os muitos alertas. Para fazer isso:
- No menu de navegação, acesse Alertas de incidentes &>Incidentes> selecionem o
. - Role para baixo até o campo >Marcas selecione a caixa de seleção Especialistas do Defender.
- Selecione Aplicar.
Configurar notificações por email do Defender Experts
Você pode configurar Microsoft 365 Defender para notificar você ou sua equipe com um email sobre novos incidentes ou atualizações para incidentes existentes, incluindo aqueles observados pelo Microsoft Defender Experts. Saiba mais sobre como obter notificações de incidentes por email
- No painel de navegação Microsoft 365 Defender, selecione Configurações>Microsoft 365 Defender>Email notificações>Incidentes.
- Atualize suas regras de notificação por email existentes ou crie uma nova. Saiba mais sobre como criar uma regra para notificações por email
- Na página Configurações de notificação da regra, configure o seguinte:
- Origem – escolha Microsoft Defender Especialistas em Microsoft 365 Defender e Microsoft Defender para Ponto de Extremidade
- Gravidade do alerta – escolha as gravidades do alerta que dispararão uma notificação de incidente. Por exemplo, se você deseja apenas ser informado sobre incidentes de alta gravidade, selecione Alta.
Colaborar com especialistas sob demanda
Observação
Especialistas sob demanda estão incluídos na assinatura Defender Experts for Hunting com alocações mensais. No entanto, não é um serviço de resposta a incidentes de segurança. Ele pretende fornecer uma melhor compreensão das ameaças complexas que afetam sua organização. Envolva-se com sua própria equipe de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se você não tiver sua própria equipe de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie uma solicitação de suporte no Hub de Serviços Premier.
Selecione Solicitar especialistas do Defender diretamente dentro do portal de segurança do Microsoft 365 para obter respostas rápidas e precisas a todas as suas perguntas sobre busca de ameaças. Especialistas podem fornecer insights para entender melhor as ameaças complexas que sua organização pode enfrentar. Especialistas sob demanda podem ajudar a:
- Coletar informações adicionais sobre alertas e incidentes, incluindo causas raiz e escopo
- Obtenha clareza em dispositivos suspeitos, alertas ou incidentes e siga as próximas etapas se enfrentar um invasor avançado
- Determinar riscos e proteções disponíveis relacionadas a atores de ameaças, campanhas ou técnicas de invasor emergentes
A opção para Perguntar Especialistas do Defender está disponível em vários lugares em todo o portal:
- Menu Ações da página do dispositivo
- Menu de sobrevoo da página de inventário de dispositivos
- Menu de sobrevoo da página alertas
- Menu Ações de página incidentes
Observação
Se você quiser acompanhar o status de seus casos de Especialistas sob Demanda por meio do Microsoft Services Hub, entre em contato com o Gerenciador de Contas de Sucesso do Cliente. Assista a este vídeo para obter uma visão geral rápida do Hub de Serviços da Microsoft.
Exemplo de perguntas que você pode fazer de Especialistas do Defender
Informações de alerta
- Vimos um novo tipo de alerta para um binário de vida fora da terra. Podemos fornecer a ID do alerta. Você pode nos dizer mais sobre este alerta e se ele está relacionado a qualquer incidente e como podemos investigá-lo ainda mais?
- Observamos dois ataques semelhantes, que tentam executar scripts mal-intencionados do PowerShell, mas geram alertas diferentes. Uma é "Linha de comando suspeita do PowerShell" e a outra é "Um arquivo mal-intencionado foi detectado com base na indicação fornecida por Office 365". Qual é a diferença?
- Recebemos um alerta estranho hoje sobre um número anormal de logons com falha do dispositivo de um usuário de alto perfil. Não encontramos mais nenhuma evidência para essas tentativas. Como Microsoft 365 Defender pode ver essas tentativas? Que tipo de logons estão sendo monitorados?
- Você pode dar mais contexto ou insights sobre o alerta e quaisquer incidentes relacionados, "Comportamento suspeito por um utilitário do sistema foi observado"?
- Observei um alerta intitulado "Criação de regra de encaminhamento/redirecionamento". Acredito que a atividade é benigna. Pode me dizer por que recebi um alerta?
Possível comprometimento do dispositivo
- Você pode ajudar a explicar por que vemos uma mensagem ou alerta para "Processo desconhecido observado" em muitos dispositivos em nossa organização? Agradecemos qualquer entrada para esclarecer se essa mensagem ou alerta está relacionado a atividades mal-intencionadas ou incidentes.
- Você pode ajudar a validar um possível compromisso no sistema a seguir, datando da semana passada? Ele está se comportando da mesma forma que uma detecção de malware anterior no mesmo sistema há seis meses.
Detalhes da inteligência contra ameaças
- Detectamos um email de phishing que entregou um documento mal-intencionado do Word a um usuário. O documento causou uma série de eventos suspeitos, que dispararam vários alertas para uma determinada família de malware. Você tem alguma informação sobre esse malware? Se sim, você pode nos enviar um link?
- Recentemente vimos uma postagem no blog sobre uma ameaça que tem como alvo nossa indústria. Você pode nos ajudar a entender qual proteção Microsoft 365 Defender fornece contra esse ator de ameaças?
- Recentemente, observamos uma campanha de phishing realizada contra nossa organização. Você pode nos dizer se isso foi direcionado especificamente para nossa empresa ou vertical?
Especialistas do Microsoft Defender para Busca comunicações de alerta
- Sua equipe de resposta a incidentes pode nos ajudar a resolver a Notificação de Especialistas do Defender que obtivemos?
- Recebemos esta Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Busca. Não temos nossa própria equipe de resposta a incidentes. O que podemos fazer agora, e como podemos conter o incidente?
- Recebemos uma Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Busca. Quais dados você pode nos fornecer para que possamos passar para nossa equipe de resposta a incidentes?