Запрос экспертов Defender включен в подписку Эксперты Defender по охоте на угрозы с ежеквартально выделенными ассигнованиями. Однако это не служба реагирования на инциденты безопасности. Он предназначен для лучшего понимания сложных угроз, влияющих на вашу организацию. Engage с собственной группой реагирования на инциденты безопасности для решения срочных проблем реагирования на инциденты безопасности. Если у вас нет собственной группы реагирования на инциденты безопасности и вы хотите получить помощь майкрософт, создайте запрос на поддержку в Premier Services Hub.
Выберите Задать вопросы экспертам Defender непосредственно на портале безопасности Microsoft 365, чтобы получить быстрые и точные ответы на все вопросы по поиску угроз. Эксперты могут предоставить аналитические сведения, чтобы лучше понять сложные угрозы, с которыми может столкнуться ваша организация. Попросите экспертов Defender помочь:
Соберите дополнительные сведения об оповещениях и инцидентах, включая первопричины и область
Получите ясность в подозрительных устройствах, оповещениях или инцидентах и выполните дальнейшие действия при столкновении с продвинутым злоумышленником
Определение рисков и доступных средств защиты, связанных с субъектами угроз, кампаниями или новыми методами злоумышленников
Необходимые разрешения для использования экспертов Ask Defender
Для просмотра и отправки запросов нашим экспертам в Defender необходимо выбрать одну из следующих ролей Microsoft Entra ID.
роль Microsoft Entra ID
Уровень разрешений.
Global Reader, Security Reader
Чтение запросов
Глобальная Администратор, Администратор безопасности, оператор безопасности
Чтение и отправка запросов
Дополнительные сведения о сопоставлении ролей Microsoft Entra ID с Microsoft Defender разрешениями единого RBAC см. в статье доступ к глобальным ролям Microsoft Entra.
эксперты Майкрософт по угрозам клиенты, использующие функцию Ask Defender Experts, также смогут использовать следующие разрешения из Microsoft Defender XDR Unified RBAC.
Microsoft Defender XDR роль единого RBAC
Уровень разрешений.
Основы безопасности данных
Чтение
Оповещения, ответ
Чтение и отправка
Куда отправлять запросы экспертам Defender
Возможность спросить экспертов Defender доступна в нескольких местах на портале:
Вы можете просмотреть ответы на запросы, отправленные экспертам Ask Defender от шести месяцев назад, перейдя к сообщениям экспертов>Defender. Вы также сможете задавать дальнейшие вопросы или отвечать с дополнительной информацией экспертам Defender на этой странице.
Электронная почта
Если вы включили контактные адреса электронной почты при отправке запроса, они получат уведомление по электронной почте при публикации ответа от экспертов Defender.
Примечание
Эксперты Defender не смогут помочь вам с запросами об ошибках или проблемах в работе с продуктом на портале Microsoft Defender XDR. Вы можете связаться с служба поддержки Майкрософт через Центр служб по таким запросам.
Примеры вопросов, которые можно задать у экспертов Defender
Сведения об оповещении
Мы видели новый тип оповещений для двоичного типа живых вне земли. Мы можем указать идентификатор оповещения. Можете ли вы рассказать нам больше об этом оповещении и о том, связано ли оно с каким-либо инцидентом и как мы можем его исследовать дальше?
Мы наблюдали две похожие атаки, которые пытаются выполнить вредоносные скрипты PowerShell, но создают разные оповещения. Один из них — "Подозрительная командная строка PowerShell", а второй — "Вредоносный файл был обнаружен на основе указания, предоставленного Office 365". В чем разница?
Сегодня мы получили нечетное оповещение о ненормальном количестве неудачных попыток входа с устройства высокопрофильного пользователя. Мы не можем найти никаких дополнительных доказательств для этих попыток. Как Microsoft Defender XDR увидеть эти попытки? Какие типы имен входа отслеживаются?
Можете ли вы предоставить дополнительный контекст или аналитические сведения об оповещении и любых связанных инцидентах с сообщением "Обнаружено подозрительное поведение системной служебной программы"?
Я обнаружил оповещение под названием "Создание правила переадресации и перенаправления". Я считаю, что деятельность является доброкачественной. Можете ли вы рассказать мне, почему я получил оповещение?
Возможная компрометация устройства
Вы можете объяснить, почему на многих устройствах в нашей организации отображается сообщение или оповещение о неизвестном процессе? Мы ценим любые вводимые данные, чтобы уточнить, связано ли это сообщение или оповещение с вредоносными действиями или инцидентами.
Можете ли вы помочь проверить возможный компромисс в следующей системе, начиная с прошлой недели? Он ведет себя так же, как и предыдущее обнаружение вредоносных программ в той же системе шесть месяцев назад.
Сведения об аналитике угроз
Мы обнаружили фишинговое письмо, которое доставляло пользователю вредоносный документ Word. Документ вызвал серию подозрительных событий, которые вызвали несколько оповещений для определенного семейства вредоносных программ. У вас есть какие-либо сведения об этой вредоносной программе? Если да, можете ли вы отправить нам ссылку?
Недавно мы видели запись блога об угрозе, которая нацелена на нашу отрасль. Можете ли вы помочь нам понять, какую защиту Microsoft Defender XDR обеспечивает против этого субъекта угроз?
Недавно мы наблюдали фишинговую кампанию против нашей организации. Можете ли вы сказать нам, было ли это направлено конкретно на нашу компанию или вертикальную?
Эксперты Microsoft Defender по охоте на угрозы оповещений
Может ли ваша группа реагирования на инциденты помочь нам обратиться к уведомлению экспертов Defender, которое мы получили?
Мы получили это уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. У нас нет собственной группы реагирования на инциденты. Что мы можем сделать сейчас и как сдержать инцидент?
Мы получили уведомление экспертов Defender от Эксперты Microsoft Defender по охоте на угрозы. Какие данные вы можете предоставить нам, которые мы можем передать нашей группе реагирования на инциденты?
Чтобы заработать эти учетные данные Microsoft Applied Skills, учащиеся демонстрируют возможность использовать XDR в Microsoft Defender для обнаружения и реагирования на киберугрозы. Кандидаты на эти учетные данные должны быть знакомы с исследованием и сбором доказательств о атаках на конечные точки. Они также должны иметь опыт использования Microsoft Defender для конечной точки и язык запросов Kusto (KQL).