Поделиться через


Общение с экспертами в службе Microsoft Defender экспертов по XDR

Область применения:

Microsoft Defender Эксперты по XDR предоставляют вам несколько каналов связи, чтобы обсудить инциденты с нашими экспертами, задать им вопросы по запросу или получить поддержку по подготовке к обслуживанию или эксплуатации от менеджеров по доставке услуг (SDM).

Уведомления об инцидентах и управляемых ответах

Если инцидент требует вашего внимания, например инциденты, которые наши эксперты выполняют действия управляемого реагирования, вы получите уведомление по одному или нескольким из следующих каналов:

Чат на портале

Примечание.

Параметр чата доступен только для инцидентов, в которых мы выдали управляемый ответ.

Вкладка Чат на портале Microsoft Defender XDR предоставляет вам место для взаимодействия с нашими экспертами и дальнейшего понимания инцидента, нашего расследования и необходимых действий, которые мы предоставили. Вы можете спросить о вредоносном исполняемом файле, вредоносном вложении, сведениях о группах действий, расширенных запросах охоты или любой другой информации, которая поможет вам в устранении инцидентов.

Снимок экрана: чат управляемого ответа на портале.

Чат Teams

Помимо использования чата на портале, вы также можете участвовать в чат-беседах в режиме реального времени с экспертами Defender непосредственно в Microsoft Teams. Эта возможность обеспечивает вам и вашей команде центра управления безопасностью (SOC) большую гибкость при реагировании на инциденты, требующие управляемого реагирования. Дополнительные сведения о включении уведомлений и чате в Teams

После включения чата в Teams создается новая команда экспертов Defender и в ней устанавливается приложение Defender Experts Teams. Каждый инцидент, требующий вашего внимания, публикуется в канале управляемого ответа этой команды в качестве новой записи. Чтобы пообщаться с нашими экспертами (например, задать дополнительные вопросы о сводке исследования или действиях, опубликованных экспертами Defender), используйте текстовую строку ответа, чтобы упоминание или пометить тегами @Defender экспертов и ввести сообщение. Если у вас возникли проблемы с настройкой канала экспертов Defender или присвоением тегов @Defender Experts, см. статью Устранение неполадок с разрешениями приложения "Эксперты Defender" в Microsoft Teams.

Снимок экрана: канал управляемых групп реагирования.

Важные напоминания при использовании чата Teams:

  • Наши эксперты имеют доступ к сообщениям в группе экспертов Defender через приложение Defender Experts Teams, поэтому вам не нужно явно обращаться к этой команде.
  • Наши эксперты видят только ответы на существующие публикации, созданные экспертами Defender, в отношении управляемого ответа. Если вы создадите новую запись, наши эксперты не смогут ее увидеть.
  • Хотя эксперты Defender могут иметь доступ ко всем сообщениям в любом канале в группе экспертов Defender, пометьте или упоминание наших экспертов, введя @Defender экспертов в ваших ответах, чтобы они уведомлялись о присоединении к беседе в чате.
  • Не вложите в чат вложения (например, файлы для анализа). По соображениям безопасности эксперты Defender не смогут просматривать вложения. Вместо этого отправьте их по соответствующим каналам отправки или предоставьте ссылки, где их можно найти на Microsoft Defender XDR портале.
  • Беседы в чате Teams об инциденте также синхронизируются с вкладкой чата инцидента на портале Microsoft Defender XDR, чтобы вы могли видеть сообщения и обновления о расследовании, где бы вы ни находились.

Электронная почта

Служба Эксперты Defender для XDR обычно отправляет автоматические сообщения электронной почты, когда управляемый ответ с выполненными или ожидающими действиями публикуется на портале Microsoft XDR или когда ей нужно напомнить об инцидентах, ожидающих вашего действия.

Однако наши эксперты также могут отправлять сообщения электронной почты вашим контактам с уведомлениями непосредственно в любой из следующих ситуаций:

  • Когда им требуются дополнительные сведения или контекст для расследования инцидента
  • Когда они обнаруживают вредоносные или подозрительные действия вручную и за пределами инцидентов или оповещений на портале Microsoft Defender XDR, и это требует действий реагирования
  • Когда они отвечают на запросы или запросы, отправленные им по электронной почте

Важно!

Не забудьте проверить сообщения электронной почты с утверждениями о том, что они от экспертов Defender.

Телефонный звонок

В сценариях взлома или в ситуациях, требующих немедленного внимания (например, вредоносных программ в высокоценной инфраструктуре, программы-шантажисты, кражу данных, инсайдерскую угрозу или другие признаки определенного злоумышленника), наши эксперты обращаются к вашим контактам с уведомлением об инцидентах , используя предоставленные вами сведения, включая звонки по указанным номерам телефонов. Дополнительные сведения о добавлении контактных лиц или групп для уведомлений об инцидентах

Спросите экспертов Defender

Хотя в предыдущих сценариях наши эксперты инициируют общение с вами, вы также можете запросить расширенный опыт по угрозам по запросу, выбрав "Спросить экспертов Defender" непосредственно на портале Microsoft Defender XDR. Подробнее

Совместная работа с диспетчером доставки служб

Менеджер по доставке служб (SDM) отвечает за управление общими отношениями для вашей организации с помощью службы Экспертов Defender для XDR. Они являются вашим доверенным консультантом, работающим вместе с командой экспертов XDR, чтобы помочь вам защитить вашу организацию.

SDM предоставляет следующие службы:

  • Поддержка готовности службы
    • Узнайте клиентов о комплексном обслуживании, от регистрации до регулярных операций и процесса эскалации.
    • Помогите установить состояние безопасности, готовое к обслуживанию, включая рекомендации по необходимым элементам управления и обновлениям политики.
  • Поддержка операций службы
    • Предоставлять специализированное содержимое и отчеты о доставке услуг, включая периодические бизнес-обзоры.
    • Выступайте в качестве единой точки контакта для обратной связи и эскалации, связанной со Службой экспертов Defender.

SDM взаимодействует с указанными контактами проверки службы. Дополнительные сведения о добавлении контактных лиц или групп для проверки и доставки служб

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.