Konfigurera och Microsoft Hotexperter funktioner via Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Innan du börjar
Viktigt
Innan du ansökar, se till att diskutera kraven för behörighet för Microsoft Hotexperter – Targeted Attack Notifications hanterad tjänst för hot efter hot med din Microsoft Technical Service-leverantör och ditt kontoteam.
Om du vill ta emot riktade attackmeddelanden måste du ha Microsoft 365 Defender med registrerade enheter. Skicka sedan ett program via M365-portalen för Microsoft Hotexperter – Riktade attackmeddelanden.
Kontakta din kontogrupp eller Microsoft-representant för att prenumerera på Microsoft Hotexperter - Experter på begäran. Med experter på begäran kan du rådgöra med våra hotexperter om hur du skyddar organisationen från relevanta identifieringar och adversaries.
Ansök för Microsoft Hotexperter – riktad tjänst för attackmeddelanden
Om du redan har Microsoft Defender för Endpoint och Microsoft 365 Defender kan du ansöka om Microsoft Hotexperter – Riktade attackmeddelanden via deras Microsoft 365 Defender portal. Riktade attackmeddelanden ger dig särskilda insikter och analyser som hjälper dig att identifiera de viktigaste hoten för din organisation, så att du kan svara på dem snabbt.
Från navigeringsfönstret går du till Inställningar > slutpunkter > Allmänt > Avancerade > Microsoft Hotexperter - Riktade attackmeddelanden.
Välj Använd.

Ange ditt namn och din e-postadress så att Microsoft kan kontakta dig om programmet.

Läs sekretesspolicynoch välj sedan Skicka när du är klar. Du får ett välkomstmeddelande via e-post när din ansökan har godkänts.

När du får välkomstmeddelandet får du automatiskt riktade attackmeddelanden.
Du kan kontrollera din status genom att gå Inställningar > slutpunkter > Allmänt > Avancerade funktioner. När den godkänts Microsoft Hotexperter - Riktad attackmeddelandeknapp visas och är påslagen.
Var du ser riktade attackmeddelanden från Microsoft Hotexperter
Du kan få riktade attackmeddelanden från Microsoft Hotexperter via följande medium:
- Sidan Microsoft 365 Defender incidenter på portalen
- I Microsoft 365 Defender-portalens instrumentpanel aviseringar
- OData-avisering för API och REST API
- DeviceAlertEvents-tabell i Avancerad sökning
- Din inkorg om du väljer att få riktade attackmeddelanden skickade till dig via e-post. Se Skapa en regel för e-postavisering nedan.
Skapa en regel för e-postavisering
Du kan skapa regler för att skicka e-postaviseringar för aviseringsmottagare. Fullständig information finns i Konfigurera aviseringsmeddelanden för att skapa, redigera, ta bort eller felsöka e-postaviseringar.
Visa riktade attackmeddelanden
Du börjar ta emot riktade attackaviseringar från Microsoft Hotexperter-postmeddelanden när du har konfigurerat ditt system för att ta emot e-postaviseringar.
Välj länken i e-postmeddelandet för att gå till motsvarande aviseringskontext i instrumentpanelen som är märkt med hotexperter.
På sidan Aviseringar väljer du samma aviseringsämne som det du fick i e-postmeddelandet om du vill visa ytterligare information.
Prenumerera på Microsoft Hotexperter – experter på begäran
Om du redan är Microsoft Defender för Endpoint-kund kan du kontakta din Microsoft-representant för att prenumerera på Microsoft Hotexperter - Experter på begäran.
Kontakta en Microsoft-expert om misstänkt cybersäkerhet i din organisation
Du kan kontakta Microsoft Hotexperter inifrån Microsoft 365 Defender portalen. Experter kan hjälpa dig att förstå komplexa hot och riktade attackmeddelanden. Samarbeta med experter för mer information om aviseringar och incidenter, eller råd om hantering av komprometteringar. Få insyn i det hotinformationssammanhang som beskrivs av din portalinstrumentpanel.
Anteckning
- Aviseringsförfrågningar som rör din organisations anpassade hotinformation stöds inte för närvarande. Kontakta din säkerhets- eller svarsgrupp för incidenter för mer information.
- Du måste ha behörigheten Hantera säkerhetsinställningar i Säkerhetscenter i Microsoft 365 Defender-portalen för att skicka en förfrågan via formuläret Konsultera en expert på hot.
Gå till portalsidan som är relaterad till den information som du vill undersöka: till exempel Enhet, Avisering eller Incident. Kontrollera att portalsidan som är relaterad till din förfrågan visas innan du skickar en undersökningsförfrågan.
I den översta menyn väljer du ? Kontakta en hotexpert.

En utfäll stor skärm öppnas.
Sidhuvudet anger om du använder en utvärderingsprenumeration eller en fullständig Microsoft Hotexperter - Experter på begäran-prenumeration.

Fältet Undersökningsämne kommer redan att fyllas i med länken till den relevanta sidan för din begäran.
Ange tillräckligt med information i nästa fält för att ge Microsoft Hotexperter tillräckligt med kontext för att starta undersökningen.
Ange den e-postadress som du vill använda för att motsvara Microsoft Hotexperter.
Anteckning
Om du vill spåra status för ärenden av den tekniska experten på begäran via Microsoft Services Hub kan du kontakta din tekniska kontohanterare.
Titta på den här videon för en snabb överblick över Microsoft Services-hubben.
Exempel på undersökningsavsnitt
Aviseringsinformation
- Vi såg en ny typ av varning för en binär bo-off-the-land binär. Vi kan ange aviserings-ID:t. Kan du berätta mer om den här aviseringen och hur vi kan undersöka den ytterligare?
- Vi har observerat två liknande attacker som båda försöker köra skadliga PowerShell-skript men generera olika aviseringar. Den ena är "Misstänkt PowerShell-kommandorad" och den andra är "En skadlig fil upptäcktes baserat på indikering från O365". Vad är skillnaden?
- Vi fick en udda avisering idag om ett felaktigt antal misslyckade inloggningar från en användares enhet. Vi hittar inga ytterligare bevis för försöken. Hur kan Microsoft 365 Defender se de här försöken? Vilken typ av inloggning övervakas?
- Kan du ge mer kontext eller information om aviseringen, "Misstänkt beteende av ett systemverktyg har observerats"?
- Jag har sett en avisering med namnet "Skapande av vidare vidarebefordran/omdirigeringsregel". Jag tror att aktiviteten är sann. Kan du berätta varför jag fick en avisering?
Möjlig datorkompromettering
- Kan du hjälpa dig att förklara varför vi ser ett meddelande eller en avisering om att "okänd process observeras" på många enheter i vår organisation? Vi uppskattar eventuella synpunkter för att klargöra om det här meddelandet eller aviseringen är relaterat till skadlig aktivitet.
- Kan du verifiera en möjlig kompromiss för följande system, från förra veckan? Det fungerar ungefär som en tidigare identifiering av skadlig programvara på samma system för sex månader sedan.
Information om hotinformation
- Vi har upptäckt ett nätfiskemeddelande som levererade ett skadligt Word-dokument till en användare. Dokumentet orsakade en serie misstänkta händelser, vilket utlöste flera aviseringar för en viss skadlig programvara-familj. Har du någon information om den här skadlig programvara? Om ja, kan du skicka oss en länk?
- Vi såg nyligen ett blogginlägg om ett hot som riktar sig till vår bransch. Kan du hjälpa oss att förstå vilket skydd Microsoft 365 Defender ger mot den här hot aktören?
- Vi har nyligen observerat en nätfiskekampanj som utförts mot vår organisation. Kan du berätta om detta var specifikt riktat till vårt företag eller lodrätt?
Microsoft Hotexperter aviseringsmeddelanden
- Kan ditt svarsteam för incidenter hjälpa oss att hantera det riktade attackmeddelandet vi fick?
- Vi har fått den här riktade attackmeddelandet från Microsoft Hotexperter. Vi har inte vårt eget svarsteam för incidenter. Vad kan vi göra nu och hur kan vi begränsa händelsen?
- Vi har fått ett meddelande om riktad attack från Microsoft Hotexperter. Vilka data kan du ge oss som vi kan skicka till vårt svarsteam för incidenter?
Anteckning
Microsoft Hotexperter är en hanterad tjänst för hot efter hot och inte en svarstjänst för incidenter. Du kan dock kommunicera med din egen svarsgrupp för incidenter för att ta itu med problem som kräver ett incidentsvar. Om du inte har ett eget svarsteam för incidenter och vill ha Hjälp från Microsoft kan du kontakta CSS Cybersecurity Incident Response Team (CIRT). De kan öppna ett ärende för att lösa din förfrågan.
Scenario
Få en förloppsrapport om din förfrågan om hanterad förfrågan
Svaret från Microsoft Hotexperter varierar beroende på din förfrågan. I allmänhet får du något av följande svar:
- Mer information krävs för att fortsätta med undersökningen
- Det krävs en eller flera filexempel för att avgöra det tekniska sammanhanget
- Undersökning kräver mer tid
- Den inledande informationen var tillräckligt för att slutföra undersökningen
Om en expert begär mer information eller filprov är det viktigt att svara snabbt för att hålla undersökningen igång.