Konfigurera och hantera funktioner för Microsoft Hotexperter

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Innan du börjar

Anteckning

Diskutera behörighetskraven med din Microsoft-leverantör och ditt kontoteam innan du ansökar om att använda Microsoft Hotexperter – Riktad attackavisering hanterad säkerhetstjänst för hot.

Se till att du har Defender för slutpunkt distribuerad i din miljö med registrerade enheter och inte bara på en miljö.

Om du är Defender för slutpunktskund måste du söka efter Microsoft Hotexperter – Riktade attackmeddelanden för att få särskilda insikter och analyser som hjälper dig att identifiera de viktigaste hoten, så att du kan svara på dem snabbt. Kontakta ditt kontoteam eller din Microsoft-representant för att prenumerera på Microsoft Hotexperter - Experts on Demand och rådgör med våra hotexperter om relevanta identifieringar och adversaries.

Ansök Microsoft Hotexperter – tjänst för riktade attackmeddelanden

Om du redan är Defender för Slutpunktskund kan du använda den via Microsoft 365 Defender portalen.

  1. Från navigeringsfönstret går du till Fliken Inställningar > Allmänt > Avancerade > Microsoft Hotexperter - Riktade attackmeddelanden.

  2. Klicka på Använd.

    Bild av Microsoft Hotexperter inställningar.

  3. Ange ditt namn och din e-postadress så att Microsoft kan kontakta dig i programmet.

    Bild på Microsoft Hotexperter program.

  4. Läs sekretesspolicyn ochklicka sedan på Skicka när du är klar. Du får ett välkomstmeddelande via e-post när din ansökan har godkänts.

    Bild på Microsoft Hotexperter på programbekräftelsen.

När du accepterar får du ett välkomstmeddelande via e-post och du ser knappen Använd ändras till en växlingsknapp som är "på". Om du vill ta dig själv från tjänsten Riktad attackmeddelanden drar du reglaget "av" och klickar på Spara inställningar längst ned på sidan.

Var du ser riktade attackmeddelanden från Microsoft Hotexperter

Du kan få riktade attackmeddelanden från Microsoft Hotexperter via följande medium:

  • Sidan Incidenter för Defender för Slutpunktsportalen
  • Instrumentpanelen Aviseringar i Defender för Slutpunktsportalen
  • OData-avisering för API och REST API
  • DeviceAlertEvents-tabell i Avancerad sökning
  • Din e-post, om du väljer att konfigurera den

Om du vill ta emot riktade attackmeddelanden via e-post skapar du en regel för e-postavisering.

Skapa en regel för e-postavisering

Du kan skapa regler för att skicka e-postaviseringar för aviseringsmottagare. Mer information finns i Konfigurera aviseringsmeddelanden för att skapa, redigera, ta bort eller felsöka e-postaviseringar.

Visa meddelandet om riktad attack

Du börjar ta emot riktade attackaviseringar från Microsoft Hotexperter-postmeddelanden när du har konfigurerat ditt system för att ta emot e-postaviseringar.

  1. Klicka på länken i e-postmeddelandet för att gå till motsvarande aviseringskontext i instrumentpanelen som är märkt med hotexperter.

  2. På instrumentpanelen väljer du samma aviseringsavsnitt som du fick i e-postmeddelandet för att visa informationen.

Prenumerera på Microsoft Hotexperter – experter på begäran

Det här är tillgängligt som en prenumerationstjänst. Om du redan är Defender för Slutpunktskund kan du kontakta din Microsoft-representant för att prenumerera på Microsoft Hotexperter - Experter på begäran.

Kontakta en Microsoft-expert om misstänkt cybersäkerhet i din organisation

Ni kan samarbeta med Microsoft Hotexperter som kan vara direkt engagerade i Microsoft 365 Defender-portalen för att få snabba och korrekta svar. Experter tillhandahåller insikter för att bättre förstå komplexa hot, riktade attackmeddelanden som du får eller om du behöver mer information om aviseringar, en potentiellt komprometterad enhet eller ett informationssammanhang för hot som visas på din portalinstrumentpanel.

Anteckning

  • Vi har för närvarande inte stöd för förfrågningar som rör din organisations anpassade hotinformation. Kontakta din säkerhetsgrupp eller ditt svarsteam för incidenter.
  • Du måste ha behörigheten Hantera säkerhetsinställningar i Microsoft 365 Defender-portalen för att kunna skicka en förfrågan om att "Kontakta en expert på hot".
  1. Gå till portalsidan med relevant information som du vill undersöka, till exempel sidan Incident. Kontrollera att sidan för den relevanta aviseringen eller enheten visas innan du skickar en undersökningsförfrågan.

  2. I den övre högra menyn klickar du på ? . Välj sedan Rådgör med en hotexpert.

    Bild på Microsoft Hotexperter på begäran från menyn.

    En utfälld skärm öppnas. Följande skärm visas när du använder en utvärderingsprenumeration.

    Bild på Microsoft Hotexperter experter på begäran.

    Följande skärm visar när du har en fullständig Microsoft Hotexperter - Experter på begäran-prenumeration.

    Bild av Microsoft Hotexperter För experter på begäran i helprenumeration.

    Fältet Inquiry topic är förifylld med länken till den relevanta sidan för din undersökningsförfrågan. Till exempel en länk till sidan incident, avisering eller enhetsinformation som du var på när du gjorde begäran.

  3. Ange tillräckligt med information i nästa fält för att ge Microsoft Hotexperter kontext för att starta undersökningen.

  4. Ange den e-postadress som du vill använda för att motsvara Microsoft Hotexperter.

Anteckning

Om du vill spåra statusen för ärenden för experter på begäran via Microsoft Services-hubben kontaktar du kundansvarig för kundframgångskontoansvarig.

Titta på den här videon för en snabb överblick över Microsoft Services-hubben.

Exempel på undersökningsämnen som du kan rådgöra med Microsoft Hotexperter – experter på begäran

Aviseringsinformation

  • Vi ser en ny typ av avisering för binär aningen off-the-land: [AlertID]. Kan du berätta något mer om den här aviseringen och hur vi kan undersöka ytterligare?
  • Vi har observerat två liknande attacker som försöker köra skadliga PowerShell-skript men generera olika aviseringar. Den ena är "Misstänkt PowerShell-kommandorad" och den andra är "En skadlig fil upptäcktes baserat på indikering från O365". Vad är skillnaden?
  • Jag får en udda avisering idag om felaktigt antal misslyckade inloggningar från en användares enhet. Jag kan inte hitta några ytterligare bevis för dessa inloggningsförsök. Hur kan Defender för Endpoint se de här försöken? Vilken typ av inloggning övervakas?
  • Du kan ge mer kontext eller insikter om den här aviseringen: "Misstänkt beteende hos ett systemverktyg har observerats".

Möjlig datorkompromettering

  • Kan du svara på varför vi ser "Okänd process observerad?" Det här meddelandet eller meddelandet visas ofta på många enheter. Vi uppskattar eventuella synpunkter för att klargöra om det här meddelandet eller aviseringen är relaterat till skadlig aktivitet.
  • Kan du verifiera en möjlig intrång i följande system [datum] med liknande beteenden som den tidigare identifieringen av skadlig programvara för samma system under [månad]?

Information om hotinformation

  • Vi har upptäckt ett nätfiskemeddelande som levererade ett skadligt Word-dokument till en användare. Det skadliga Word-dokumentet orsakade en serie misstänkta händelser som utlöste flera Defender-varningar för ändpunktsaviseringar om skadlig programvara för [malware name]. Har du någon information om den här skadlig programvara? Om ja, kan du skicka mig en länk?
  • Jag såg nyligen en referens från [sociala medier, till exempel Twitter eller bloggen] om ett hot som riktar sig till min bransch. Kan du hjälpa mig förstå vilket skydd Defender för Endpoint tillhandahåller mot den här hotspelaren?

Microsoft Hotexperter aviseringsmeddelanden

  • Kan ditt svarsteam för incidenter hjälpa oss att hantera det riktade attackmeddelandet vi fick?

  • Jag fick den här riktade attackmeddelandet från Microsoft Hotexperter. Vi har inte vårt eget svarsteam för incidenter. Vad kan vi göra nu och hur kan vi begränsa händelsen?

  • Jag fick ett riktad attackmeddelande från Microsoft Hotexperter. Vilka data kan du ge oss som vi kan skicka till vårt svarsteam för incidenter?

    Anteckning

    Microsoft Hotexperter är en hanterad säkerhetstjänst för cybersäkerhet och inte en incidenttjänst. Du kan dock kommunicera med din egen svarsgrupp för incidenter för att ta itu med problem som kräver ett incidentsvar. Om du inte har ett eget svarsteam för incidenter och vill ha Hjälp från Microsoft kan du kontakta CSS Cybersecurity Incident Response Team (CIRT). De kan öppna ett ärende för att lösa din förfrågan.

Scenario

Få en förloppsrapport om din förfrågan om hanterad förfrågan

Svar från Microsoft Hotexperter varierar beroende på din förfrågan. De skickar en förloppsrapport via e-post till dig om en expert på hot inom två dagar för att informera om undersökningsstatus från följande kategorier:

  • Mer information krävs för att fortsätta med undersökningen
  • Det krävs en eller flera filexempel för att avgöra det tekniska sammanhanget
  • Undersökning kräver mer tid
  • Den inledande informationen var tillräckligt för att slutföra undersökningen

Det är centralt att svara snabbt för att hålla undersökningen i rörelse.