开始使用 Microsoft Defender 搜寻专家

  • 项目

适用于:

载入

如果你不熟悉Microsoft 365 Defender和 Defender 专家进行搜寻:

  1. 收到欢迎电子邮件后,选择“登录到Microsoft 365 Defender”。
  2. 如果已有 Microsoft 帐户,请登录。 如果没有,请创建一个。
  3. Microsoft 365 Defender快速教程可让你熟悉安全套件、功能的位置及其重要性。 选择“ 快速浏览”。
  4. 阅读有关Microsoft Defender专家服务及其提供的功能的简短说明。 选择“下一步”。 你将看到欢迎页面:

Microsoft 365 Defender欢迎页面的屏幕截图,其中包含 Defender Experts for Hunting 服务的卡片。

接收 Defender 专家通知

Defender 专家通知服务包括:

  • 威胁监视和分析,减少停留时间和业务风险
  • 猎人训练的人工智能,以发现和瞄准已知攻击和新出现的威胁
  • 识别最相关的风险,帮助 SOC 最大化其有效性
  • 帮助确定泄露范围,并尽可能多地提供上下文,以实现快速的 SOC 响应

请参阅以下屏幕截图,查看 Defender 专家通知示例:

Microsoft 365 Defender中 Defender 专家通知的屏幕截图。Defender 专家通知包括描述所观察到的威胁或活动的标题、执行摘要和建议列表。

可在其中找到 Defender 专家通知

可以通过以下媒体从 Defender 专家接收 Defender 专家通知:

筛选以仅查看 Defender 专家通知

如果只想在多个警报中查看 Defender 专家通知,则可以筛选事件和警报。 为此,请执行以下操作:

  1. 在导航菜单上,转到 “事件 & 警报>事件> ”,选择 “筛选器”图标 图标。
  2. 向下滚动到“标记”字段>,选择“Defender 专家检查”框。
  3. 选择“应用”。

设置 Defender 专家电子邮件通知

可以设置Microsoft 365 Defender,通过电子邮件通知你或你的员工有关新事件或现有事件的更新,包括Microsoft Defender专家观察到的事件。 详细了解如何通过电子邮件获取事件通知

  1. 在Microsoft 365 Defender导航窗格中,选择“设置Microsoft 365 Defender>>Email通知>事件”。
  2. 更新现有电子邮件通知规则或创建新的电子邮件通知规则。 详细了解如何为电子邮件通知创建规则
  3. 在规则的 “通知设置 ”页上,确保配置以下内容:
    • - 在Microsoft 365 Defender和Microsoft Defender for Endpoint下选择Microsoft Defender专家
    • 警报严重性 – 选择将触发事件通知的警报严重性。 例如,如果仅想收到高严重度事件的通知,请选择“高”。

与按需专家协作

注意

按需专家包含在 Defender Experts for Hunting 订阅中,每月 分配一次。 但是,它不是安全事件响应服务。 它旨在更好地了解影响组织的复杂威胁。 与你自己的安全事件响应团队联系,以解决紧急安全事件响应问题。 如果没有自己的安全事件响应团队,并希望 Microsoft 提供帮助,请在 顶级服务中心创建支持请求。

直接在 Microsoft 365 安全门户中选择“ 询问 Defender 专家 ”,以快速准确地回答所有威胁搜寻问题。 专家可以提供见解,以便更好地了解组织可能面临的复杂威胁。 按需专家可以帮助:

  • 收集有关警报和事件的其他信息,包括根本原因和范围
  • 深入了解可疑设备、警报或事件,并在遇到高级攻击者时采取后续步骤
  • 确定与威胁参与者、市场活动或新兴攻击者技术相关的风险和可用保护

在整个门户中的多个位置提供了 “询问 Defender 专家 ”选项:

  • 设备页面操作菜单

Microsoft 365 Defender门户中“设备”页面操作菜单中的“询问 Defender 专家”菜单选项的屏幕截图。

  • 设备清单页面浮出控件菜单

Microsoft 365 Defender门户中“设备清单”页浮出控件菜单中“询问 Defender 专家”菜单选项的屏幕截图。

  • “警报”页浮出控件菜单

Microsoft 365 Defender门户中“警报”页浮出控件菜单中“询问 Defender 专家”菜单选项的屏幕截图。

  • “事件”页操作菜单

Microsoft 365 Defender门户中“事件”页操作菜单中的“询问 Defender 专家”菜单选项的屏幕截图。

注意

如果要通过 Microsoft Services Hub 跟踪按需专家案例的状态,请联系你的客户成功客户经理。 观看此 视频 ,快速了解 Microsoft Services Hub。

可以向 Defender 专家提出的示例问题

警报信息

  • 我们看到了一种新型的警报,用于生活在陆地外的二进制文件。 我们可以提供警报 ID。 能否告诉我们有关此警报的详细信息,以及它是否与任何事件相关,以及如何进一步调查它?
  • 我们观察到两个类似的攻击,它们都试图执行恶意 PowerShell 脚本,但生成不同的警报。 一个是“可疑的 PowerShell 命令行”,另一个是“根据Office 365提供的指示检测到恶意文件”。有什么区别?
  • 今天,我们收到了一个奇怪的警报,说明来自高调用户的设备登录失败次数异常。 我们无法找到任何进一步的证据来证明这些尝试。 Microsoft 365 Defender如何查看这些尝试? 正在监视哪些类型的登录名?
  • 是否可以提供有关警报和任何相关事件的更多上下文或见解,“观察到系统实用工具的可疑行为”?
  • 我观察到一个标题为“创建转发/重定向规则”的警报。 我相信活动是良性的。 你能告诉我为什么收到警报吗?

可能的设备泄露

  • 你能否帮助解释为什么我们在组织中的许多设备上看到“观察到未知进程”的消息或警报? 我们非常感谢任何输入来阐明此消息或警报是否与恶意活动或事件相关。
  • 你能否帮助验证以下系统(从上周开始)可能存在的危害? 它的行为与六个月前在同一系统上先前的恶意软件检测类似。

威胁情报详细信息

  • 我们检测到一封钓鱼电子邮件,该电子邮件向用户传递了恶意 Word 文档。 该文档引发了一系列可疑事件,这些事件触发了针对特定恶意软件系列的多个警报。 你是否有有关此恶意软件的任何信息? 如果是,是否可以向我们发送链接?
  • 我们最近看到了一篇关于针对我们行业的威胁的博客文章。 能否帮助我们了解Microsoft 365 Defender针对此威胁参与者提供哪些保护?
  • 我们最近观察到了针对我们组织的钓鱼活动。 你能告诉我们这是专门针对我们的公司还是垂直市场吗?

Microsoft Defender 搜寻专家警报通信

  • 事件响应团队能否帮助我们解决我们获得的 Defender 专家通知?
  • 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 我们没有自己的事件响应团队。 我们现在可以做什么,如何遏制事件?
  • 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 你可以向我们提供哪些数据,我们可以传递给事件响应团队?

后续步骤