Megosztás a következőn keresztül:

Együttműködés az igény szerinti szakértőkkel

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

A Szakértők válaszolnak a Defender Hibakeresés-szakértők-előfizetés negyedéves foglalásokkal.

Válassza a Defender-szakértők megkérdezése lehetőséget közvetlenül a Microsoft 365 biztonsági portálján, hogy gyorsan és pontosan választ kapjon az összes veszélyforrás-keresési kérdésére. A szakértők betekintést nyújthatnak a szervezet által esetlegesen felmerülő összetett fenyegetések jobb megértéséhez. A Defender szakértői a következő segítségére lehetnek:

  • További információk gyűjtése a riasztásokról és incidensekről, beleértve a kiváltó okokat és a hatókört
  • Tisztázhatja a gyanús eszközöket, riasztásokat vagy incidenseket, és ha haladó támadóval szembesül, tegye meg a következő lépéseket
  • Veszélyforrás-szereplőkkel, kampányokkal vagy új támadói technikákkal kapcsolatos kockázatok és rendelkezésre álló védelem meghatározása

Képernyőkép a Defender-szakértők megkérdezése párbeszédpanelről.

A Defender-szakértők megkérdezéséhez szükséges engedélyek

Az alábbi Microsoft Entra ID szerepkörök egyikét kell választania, hogy megtekinthesse és elküldhesse kérdéseit a Defender-szakértőinknek.

Microsoft Entra ID szerepkör Jogosultsági szint
Globális olvasó, biztonsági olvasó Lekérdezések olvasása
Globális Rendszergazda, biztonsági Rendszergazda, biztonsági operátor Kérdések olvasása és elküldése

Ha többet szeretne megtudni arról, hogy Microsoft Entra ID szerepkörök hogyan képezhetők le Microsoft Defender egyesített RBAC-engedélyekre, tekintse meg Microsoft Entra globális szerepkörök hozzáférését ismertető cikket.

Microsoft Veszélyforrás-szakértők Az Ask Defender Experts képességet használó ügyfelek a következő engedélyeket is használhatják az Microsoft Defender XDR Unified RBAC-ből.

egyesített RBAC-szerepkör Microsoft Defender XDR Jogosultsági szint
A biztonsági adatok alapjai Olvas
Riasztások, válasz Olvasás és küldés

Hol küldhet be kérdéseket a Defender szakértőinek?

A Defender-szakértők megkérdezése lehetőség a portálon több helyen is elérhető:

  • Eszközlapműveletek menü:

    Képernyőkép a Microsoft Defender portál Eszköz lapművelet menüjének Szakértők válaszolnak menüpontjáról.

  • Eszközleltár lap úszó menüje:

    Képernyőkép a Microsoft Defender Portál Eszközleltár lapjának úszó menüjében található Szakértők válaszolnak menüpontról.

  • Riasztások lap úszó menüje:

    Képernyőkép a Microsoft Defender Portal Riasztások lapjának úszó menüjében található Szakértők megkérdezése menüpontról.

  • Incidensek lapműveletek menüje:

    Képernyőkép a Microsoft Defender portál Incidensek lapműveletek menüjének Szakértők válaszolnak menüpontjáról.

A Defender-szakértők válaszainak megtekintése

A portálon

A Defender-szakértőknek küldött kérdésekre adott válaszokat akár hat hónappal ezelőtt is megtekintheti, ha a Jelentések>Defender-szakértők üzenetei között navigál. További kérdéseket is feltehet, vagy további információkkal válaszolhat a Defender szakértőinek ezen az oldalon.

Képernyőkép a portálon belüli felügyelt válaszról.

E-mail

Ha a kérdés elküldésekor kapcsolattartási e-mail-címeket adott meg, a Defender-szakértők válaszának közzétételekor e-mailben értesítést kapnak.

Képernyőkép az e-mail alapú felügyelt válaszról.

A Defender szakértőitől feltehető mintakérdések

Riasztási információk

  • Láttunk egy új típusú riasztást egy élő-off-the-land bináris. Meg tudjuk adni a riasztás azonosítóját. Tud nekünk többet mondani erről a riasztásról, és hogy kapcsolódik-e valamilyen incidenshez, és hogyan vizsgálhatjuk tovább?
  • Két hasonló támadást észleltünk, amelyek mindegyike rosszindulatú PowerShell-szkripteket próbál végrehajtani, de különböző riasztásokat hoz létre. Az egyik a "Gyanús PowerShell-parancssor", a másik pedig "A rendszer kártékony fájlt észlelt a Office 365 által megadott jelzés alapján." Mi a különbség?
  • Ma szokatlan riasztást kaptunk egy nagy profilú felhasználó eszközéről érkező sikertelen bejelentkezések rendellenes számáról. Nem találunk további bizonyítékot ezekre a kísérletekre. Hogyan tekintheti meg ezeket a kísérleteket Microsoft Defender XDR? Milyen típusú bejelentkezéseket figyel a rendszer?
  • Tud-e több kontextust vagy megállapítást adni a riasztással és a kapcsolódó incidensekkel kapcsolatban: "Gyanús viselkedést észlelt egy rendszer-segédprogram"?
  • Egy "Továbbítási/átirányítási szabály létrehozása" nevű riasztást észleltem. Szerintem a tevékenység jóindulatú. Meg tudja mondani, miért kaptam riasztást?

Lehetséges eszközmegsértés

  • Segíthet elmagyarázni, hogy miért jelenik meg "Ismeretlen folyamat észlelhető" üzenet vagy riasztás a szervezet számos eszközén? Nagyra értékeljük a bemenetet annak tisztázásához, hogy ez az üzenet vagy riasztás rosszindulatú tevékenységhez vagy incidensekhez kapcsolódik-e.
  • Tud segíteni a következő, múlt hétről származó esetleges biztonsági rés érvényesítésében? Hasonlóan viselkedik, mint egy korábbi kártevőészlelés ugyanazon a rendszeren hat hónappal ezelőtt.

Fenyegetésfelderítés részletei

  • Adathalász e-mailt észleltünk, amely rosszindulatú Word dokumentumot küldött egy felhasználónak. A dokumentum gyanús események sorozatát okozta, amelyek több riasztást indítottak egy adott kártevőcsaládra vonatkozóan. Van bármilyen információja erről a kártevőről? Ha igen, küldhet nekünk egy hivatkozást?
  • Nemrég láttunk egy blogbejegyzést egy olyan fenyegetésről, amely az iparágunkat célozza. Tud segíteni nekünk megérteni, hogy milyen védelmet nyújt Microsoft Defender XDR a fenyegetési szereplő ellen?
  • Nemrégiben adathalász kampányt észleltünk szervezetünk ellen. Meg tudja mondani, hogy ez kifejezetten a cégünkre vagy a vertikálisra irányult?

riasztási kommunikáció Microsoft Defender Hibakeresés-szakértők

  • Segíthet az incidensmegoldási csapata a Kapott Defender-szakértők értesítésének megválaszolásában?
  • Ezt a Defender-szakértői értesítést Microsoft Defender Hibakeresés-szakértők kaptuk. Nincs saját incidensmegoldási csapatunk. Mit tehetünk most, és hogyan tudjuk megfékezni az incidenst?
  • A Defender szakértői értesítést kaptunk Microsoft Defender Hibakeresés-szakértők. Milyen adatokat adhat meg nekünk, amelyeket továbbíthatunk az incidensmegoldási csapatnak?

Olyan szolgáltatások, amelyek nem tartoznak a Defender-szakértők hatókörébe

A Defender-szakértők válaszolnak azokra a termékekre, amelyek csak a Microsoft Defender XDR, azaz Végponthoz készült Microsoft Defender Microsoft Defender office-hoz tartoznak, Microsoft Defender for Cloud Apps és Microsoft Defender for Identity.

A szolgáltatás nem fedi le a következő forgatókönyveket:

  • Egyéni észleléssel kapcsolatos kérdések – A fenti termékekben található egyéni észlelésekkel kapcsolatos kérdések nem kezelhetők a Defender-szakértők megkérdezése szolgáltatásban, mert a szakértőink általában nem férnek hozzá az ilyen telemetriához, és nem is láthatják, hogyan lettek beállítva ezek az egyéni szabályzatok. Ilyen szabályzatok például a következők:

    • Riasztások szabályzatforrással = Szokás
    • Észlelési forrás = Egyéni TI
    • Riasztás címe = Anomáliák mutatója
    • Veszélyforrás-család = Csak egyéni vállalati blokk

  • Nem Microsoft Defender XDR termékekkel kapcsolatos kérdések – A Defender-szakértők nem kezelik a nem Defender XDR termékekkel kapcsolatos kérdéseket, például a felhőhöz készült Microsoft Defender, az IoT Microsoft Defender, Microsoft Sentinel, Microsoft Purview, Microsoft Priva és egyéb külső kiberbiztonsági termékek.

  • Hibákkal kapcsolatos kérdések – A Defender szakértői nem kezelik a Defender XDR portálon a termékélmény hibáival kapcsolatos kérdéseket, például a riasztási vagy incidensoldal hiányzó adatait, vagy egy javasolt műveletet, amely nem fejezhető be a művelet végrehajtásakor. Az ilyen problémákkal kapcsolatban a Services Hubon keresztül Microsoft ügyfélszolgálata érheti el.

  • A biztonsági incidensek megoldásával kapcsolatos kérdések – A Defender szakértőinek megkérdezése nem biztonsági incidensmegoldási szolgáltatás. Célja, hogy jobban megértse a szervezetet érintő összetett fenyegetéseket. Engage a saját biztonsági incidensmegoldási csapatával, hogy elhárítsa a biztonsági incidensek sürgős elhárításával kapcsolatos problémákat. Ha nem rendelkezik saját biztonsági incidensmegoldási csapattal, és a Microsoft segítségére van szüksége, hozzon létre egy támogatási kérést a Premier services központban.

További lépés

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.