Поделиться через

Совместная работа с экспертами по запросу

  • Статья

Область применения:

Примечание.

Запрос экспертов Defender включен в подписку Эксперты Defender по охоте на угрозы с ежеквартально выделенными ассигнованиями. Однако это не служба реагирования на инциденты безопасности. Он предназначен для лучшего понимания сложных угроз, влияющих на вашу организацию. Engage с собственной группой реагирования на инциденты безопасности для решения срочных проблем реагирования на инциденты безопасности. Если у вас нет собственной группы реагирования на инциденты безопасности и вы хотите получить помощь майкрософт, создайте запрос на поддержку в Premier Services Hub.

Выберите Задать вопросы экспертам Defender непосредственно на портале безопасности Microsoft 365, чтобы получить быстрые и точные ответы на все вопросы по поиску угроз. Эксперты могут предоставить аналитические сведения, чтобы лучше понять сложные угрозы, с которыми может столкнуться ваша организация. Попросите экспертов Defender помочь:

  • Соберите дополнительные сведения об оповещениях и инцидентах, включая первопричины и область
  • Получите ясность в подозрительных устройствах, оповещениях или инцидентах и выполните дальнейшие действия при столкновении с продвинутым злоумышленником
  • Определение рисков и доступных средств защиты, связанных с субъектами угроз, кампаниями или новыми методами злоумышленников

Снимок экрана: диалоговое окно

Необходимые разрешения для использования экспертов Ask Defender

Для просмотра и отправки запросов нашим экспертам в Defender необходимо выбрать одну из следующих ролей Microsoft Entra ID.

роль Microsoft Entra ID Уровень разрешений.
Global Reader, Security Reader Чтение запросов
Глобальная Администратор, Администратор безопасности, оператор безопасности Чтение и отправка запросов

Дополнительные сведения о сопоставлении ролей Microsoft Entra ID с Microsoft Defender разрешениями единого RBAC см. в статье доступ к глобальным ролям Microsoft Entra.

Куда отправлять запросы экспертам Defender

Возможность спросить экспертов Defender доступна в нескольких местах на портале:

  • Меню действий страницы устройства:

    Снимок экрана: пункт меню

  • Всплывающее меню страницы инвентаризации устройств:

    Снимок экрана: пункт меню

  • Всплывающее меню страницы оповещений:

    Снимок экрана: пункт меню

  • Меню действий страницы инцидентов:

    Снимок экрана: пункт меню

Где просматривать ответы от экспертов Defender

На портале

Вы можете просмотреть ответы на запросы, отправленные экспертам Ask Defender от шести месяцев назад, перейдя к сообщениям экспертов>Defender. Вы также сможете задавать дальнейшие вопросы или отвечать с дополнительной информацией экспертам Defender на этой странице.

Снимок экрана: управляемый ответ на портале.

Электронная почта

Если вы включили контактные адреса электронной почты при отправке запроса, они получат уведомление по электронной почте при публикации ответа от экспертов Defender.

Снимок экрана: управляемый ответ на основе электронной почты.

Примечание.

Эксперты Defender не смогут помочь вам с запросами об ошибках или проблемах в работе с продуктом на портале Microsoft Defender XDR. Вы можете связаться с служба поддержки Майкрософт через Центр служб по таким запросам.

Примеры вопросов, которые можно задать у экспертов Defender

Сведения об оповещении

  • Мы видели новый тип оповещений для двоичного типа живых вне земли. Мы можем указать идентификатор оповещения. Можете ли вы рассказать нам больше об этом оповещении и о том, связано ли оно с каким-либо инцидентом и как мы можем его исследовать дальше?
  • Мы наблюдали две похожие атаки, которые пытаются выполнить вредоносные скрипты PowerShell, но создают разные оповещения. Один из них — "Подозрительная командная строка PowerShell", а второй — "Вредоносный файл был обнаружен на основе указания, предоставленного Office 365". В чем разница?
  • Сегодня мы получили нечетное оповещение о ненормальном количестве неудачных попыток входа с устройства высокопрофильного пользователя. Мы не можем найти никаких дополнительных доказательств для этих попыток. Как Microsoft Defender XDR увидеть эти попытки? Какие типы имен входа отслеживаются?
  • Можете ли вы предоставить дополнительный контекст или аналитические сведения об оповещении и любых связанных инцидентах с сообщением "Обнаружено подозрительное поведение системной служебной программы"?
  • Я обнаружил оповещение под названием "Создание правила переадресации и перенаправления". Я считаю, что деятельность является доброкачественной. Можете ли вы рассказать мне, почему я получил оповещение?

Возможная компрометация устройства

  • Вы можете объяснить, почему на многих устройствах в нашей организации отображается сообщение или оповещение о неизвестном процессе? Мы ценим любые вводимые данные, чтобы уточнить, связано ли это сообщение или оповещение с вредоносными действиями или инцидентами.
  • Можете ли вы помочь проверить возможный компромисс в следующей системе, начиная с прошлой недели? Он ведет себя так же, как и предыдущее обнаружение вредоносных программ в той же системе шесть месяцев назад.

Сведения об аналитике угроз

  • Мы обнаружили фишинговое письмо, которое доставляло пользователю вредоносный документ Word. Документ вызвал серию подозрительных событий, которые вызвали несколько оповещений для определенного семейства вредоносных программ. У вас есть какие-либо сведения об этой вредоносной программе? Если да, можете ли вы отправить нам ссылку?
  • Недавно мы видели запись блога об угрозе, которая нацелена на нашу отрасль. Можете ли вы помочь нам понять, какую защиту Microsoft Defender XDR обеспечивает против этого субъекта угроз?
  • Недавно мы наблюдали фишинговую кампанию против нашей организации. Можете ли вы сказать нам, было ли это направлено конкретно на нашу компанию или вертикальную?

Эксперты Microsoft Defender по охоте на угрозы оповещений

  • Может ли ваша группа реагирования на инциденты помочь нам обратиться к уведомлению экспертов Defender, которое мы получили?
  • Мы получили это уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. У нас нет собственной группы реагирования на инциденты. Что мы можем сделать сейчас и как сдержать инцидент?
  • Мы получили уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. Какие данные вы можете предоставить нам, которые мы можем передать нашей группе реагирования на инциденты?

Следующее действие

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.