Samarbeta med experter på begäran
Gäller för:
Obs!
Fråga Defender-experter ingår i din Defender jaktexperter prenumeration med kvartalsvisa allokeringar. Det är dock inte en tjänst för säkerhetsincidenter. Den är avsedd att ge en bättre förståelse för komplexa hot som påverkar din organisation. Engage med ditt eget team för svar på säkerhetsincidenter för att åtgärda brådskande säkerhetsproblem. Om du inte har ett eget team för säkerhetsincidenter och vill ha Microsofts hjälp skapar du en supportbegäran i Premier Services Hub.
Välj Fråga Defender-experter direkt i Microsoft 365-säkerhetsportalen för att få snabba och korrekta svar på alla dina frågor om hotjakt. Experter kan ge insikter för att bättre förstå de komplexa hot som din organisation kan stöta på. Fråga Defender-experter kan hjälpa dig:
- Samla in ytterligare information om aviseringar och incidenter, inklusive rotorsaker och omfång
- Få klarhet i misstänkta enheter, aviseringar eller incidenter och vidta nästa steg om du möter en avancerad angripare
- Fastställa risker och tillgängligt skydd som rör hotaktörer, kampanjer eller nya metoder för angripare
Behörigheter som krävs för att använda Ask Defender-experter
Du måste välja någon av följande Microsoft Entra ID roller för att visa och skicka förfrågningar till våra Defender-experter.
| Microsoft Entra ID roll | Behörighetsnivå |
|---|---|
| Global läsare, säkerhetsläsare | Läs förfrågningar |
| Global Admin, Security Admin, Security Operator | Läsa och skicka förfrågningar |
Mer information om hur Microsoft Entra ID roller mappas till Microsoft Defender enhetliga RBAC-behörigheter finns i Microsoft Entra Åtkomst till globala roller.
Microsoft Hotexperter kunder som använder funktionen Fråga Defender-experter kan också använda följande behörigheter från Microsoft Defender XDR Unified RBAC.
| Microsoft Defender XDR enhetlig RBAC-roll | Behörighetsnivå |
|---|---|
| Grundläggande säkerhetsdata | Läsa |
| Aviseringar, svar | Läsa och skicka |
Var du kan skicka förfrågningar till Fråga Defender-experter
Alternativet att fråga Defender-experter finns på flera platser i portalen:
Åtgärdsmeny för enhetssida:
Utfälld meny för enhetsinventeringssida:
Aviseringssidans utfällbara meny:
Åtgärdsmeny för incidenter:
Var du kan visa svar från Defender-experter
I portalen
Du kan visa svar på förfrågningar som skickats till Fråga Defender-experter för upp till sex månader sedan genom att gå till Rapporter>Defender Experts-meddelanden. Du kommer också att kunna ställa uppföljningsfrågor eller svara med mer information till Defender-experter från den här sidan.
E-post
Om du inkluderade e-postadresser för kontakt när du skickade din förfrågan får de ett e-postmeddelande när ett svar från Defender-experter publiceras.
Obs!
Defender-experter kommer inte att kunna hjälpa dig med frågor om buggar eller problem i din produktupplevelse i Microsoft Defender XDR portalen. Du kan kontakta Microsoft Support via Services Hub angående sådana förfrågningar.
Exempelfrågor som du kan ställa från Defender-experter
Aviseringsinformation
- Vi såg en ny typ av avisering för en binär fil som lever utanför landet. Vi kan ange aviserings-ID:t. Kan du berätta mer om den här aviseringen och om den är relaterad till en incident och hur vi kan undersöka den ytterligare?
- Vi har observerat två liknande attacker, som båda försöker köra skadliga PowerShell-skript men generera olika aviseringar. Den ena är "Misstänkt PowerShell-kommandorad" och den andra är "En skadlig fil upptäcktes baserat på indikation från Office 365". Vad är skillnaden?
- Vi fick idag en udda avisering om ett onormalt antal misslyckade inloggningar från en hög profilanvändares enhet. Vi kan inte hitta några ytterligare bevis för dessa försök. Hur kan Microsoft Defender XDR se dessa försök? Vilken typ av inloggningar övervakas?
- Kan du ge mer kontext eller insikter om aviseringen och eventuella relaterade incidenter, "Misstänkt beteende av ett systemverktyg observerades"?
- Jag observerade en avisering med rubriken "Skapande av vidarebefordran/omdirigeringsregel". Jag tror att aktiviteten är godartad. Kan du berätta varför jag fick en avisering?
Möjlig enhetskompromiss
- Kan du förklara varför vi ser ett meddelande eller en avisering om "Okänd process har observerats" på många enheter i organisationen? Vi uppskattar alla indata för att klargöra om det här meddelandet eller aviseringen är relaterat till skadlig aktivitet eller incidenter.
- Kan du hjälpa till att validera en möjlig kompromiss i följande system från förra veckan? Det beter sig på samma sätt som en tidigare identifiering av skadlig kod i samma system för sex månader sedan.
Information om hotinformation
- Vi har upptäckt ett nätfiskemeddelande som levererade ett skadligt Word dokument till en användare. Dokumentet orsakade en serie misstänkta händelser, som utlöste flera aviseringar för en viss skadlig kodfamilj. Har du någon information om den här skadliga koden? Om ja, kan du skicka oss en länk?
- Vi såg nyligen ett blogginlägg om ett hot som riktar sig mot vår bransch. Kan du hjälpa oss att förstå vilket skydd Microsoft Defender XDR ger mot den här hotskådespelaren?
- Vi har nyligen observerat en nätfiskekampanj som utförts mot vår organisation. Kan du berätta för oss om detta var specifikt riktat till vårt företag eller vertikalt?
Microsoft Defender jaktexperter aviseringskommunikation
- Kan ditt incidenthanteringsteam hjälpa oss att hantera defender-experternas meddelande som vi har?
- Vi har fått det här defender-expertmeddelandet från Microsoft Defender jaktexperter. Vi har inget eget team för incidenthantering. Vad kan vi göra nu och hur kan vi begränsa incidenten?
- Vi har fått ett meddelande om Defender-experter från Microsoft Defender jaktexperter. Vilka data kan du ge oss som vi kan vidarebefordra till vårt incidenthanteringsteam?
Nästa steg
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.