按需与专家协作

适用于：

• Microsoft Defender XDR

注意

询问 Defender 专家包含在每月分配的 Defender 搜寻专家 订阅中。 但是，它不是安全事件响应服务。 它旨在更好地了解影响组织的复杂威胁。 Engage自己的安全事件响应团队来解决紧急安全事件响应问题。 如果没有自己的安全事件响应团队，并希望 Microsoft 提供帮助，请在 顶级服务中心创建支持请求。

直接在 Microsoft 365 安全门户中选择“ 询问 Defender 专家 ”，以快速准确地回答所有威胁搜寻问题。 专家可以提供见解，以便更好地了解组织可能面临的复杂威胁。 咨询 Defender 专家可以提供帮助：

• 收集有关警报和事件的其他信息，包括根本原因和范围
• 深入了解可疑设备、警报或事件，并在遇到高级攻击者时采取后续步骤
• 确定与威胁参与者、市场活动或新兴攻击者技术相关的风险和可用保护

在“询问 Defender 专家”面板中提交查询所需的权限

在向 Defender 专家提交查询之前，需要选择以下权限之一。 有关基于角色的访问控制 (RBAC) 权限的详细信息，请参阅：Microsoft Defender for Endpoint和Microsoft Defender XDR RBAC 权限。

产品名称	产品 RBAC 权限
Microsoft Defender for Endpoint RBAC	在安全中心管理安全设置
Microsoft Defender XDR统一 RBAC	授权和设置 \ 安全设置 \ 核心安全设置 (管理) 授权和设置 \ 安全设置 \ 检测优化 (管理)

在哪里可以找到“询问 Defender 专家”

在整个门户中的多个位置都提供了 “询问 Defender 专家 ”选项：

• 设备页面操作菜单

• 设备清单页面浮出控件菜单

• “警报”页浮出控件菜单

• “事件”页操作菜单

可以向 Defender 专家提出的示例问题

警报信息

• 我们看到了一种新型的警报，用于生活在陆地外的二进制文件。 我们可以提供警报 ID。 能否告诉我们有关此警报的详细信息，以及它是否与任何事件有关，以及如何进一步调查它？
• 我们观察到两个类似的攻击，它们都试图执行恶意 PowerShell 脚本，但生成不同的警报。 一个是“可疑的 PowerShell 命令行”，另一个是“根据Office 365提供的指示检测到恶意文件”。有什么区别？
• 今天，我们收到了一个奇怪的警报，说明来自高调用户的设备登录失败次数异常。 我们无法找到任何进一步的证据来证明这些尝试。 Microsoft Defender XDR如何查看这些尝试？ 正在监视哪些类型的登录名？
• 是否可以提供有关警报和任何相关事件的更多上下文或见解，“观察到系统实用工具的可疑行为”？
• 我观察到一个标题为“创建转发/重定向规则”的警报。 我相信活动是良性的。 你能告诉我为什么收到警报吗？

可能的设备泄露

• 你能否帮助解释为什么我们在组织中的许多设备上看到“观察到未知进程”的消息或警报？ 我们非常感谢任何输入来阐明此消息或警报是否与恶意活动或事件相关。
• 你能否帮助验证以下系统（从上周开始）可能存在的危害？ 它的行为与六个月前在同一系统上先前的恶意软件检测类似。

威胁情报详细信息

• 我们检测到一封钓鱼电子邮件，该电子邮件向用户传递了恶意Word文档。 该文档引发了一系列可疑事件，这些事件触发了针对特定恶意软件系列的多个警报。 你是否有有关此恶意软件的任何信息？ 如果是，是否可以向我们发送链接？
• 我们最近看到了一篇关于针对我们行业的威胁的博客文章。 能否帮助我们了解Microsoft Defender XDR针对此威胁参与者提供哪些保护？
• 我们最近观察到了针对我们组织的钓鱼活动。 你能告诉我们这是专门针对我们的公司还是垂直市场吗？

Microsoft Defender 搜寻专家警报通信

• 事件响应团队能否帮助我们解决我们获得的 Defender 专家通知？
• 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 我们没有自己的事件响应团队。 我们现在可以做什么，如何遏制事件？
• 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 你可以向我们提供哪些数据，我们可以传递给事件响应团队？

后续步骤

• 了解 Microsoft Defender XDR 中的Defender 搜寻专家报表

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。