設定和管理 Microsoft 威脅專家功能

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

在您開始之前

注意

在您申請Microsoft 威脅專家 - 目標攻擊通知受控威脅搜捕服務之前,請先與您的 Microsoft 技術服務提供者和帳戶小組討論資格需求。

請確定您已在已註冊裝置的環境中部署適用于端點的 Defender,而不只是在實驗室設定上部署。

如果您是適用于端點的 Defender 客戶,則必須申請 Microsoft 威脅專家 - 目標攻擊通知,以取得特殊的深入解析和分析,以協助識別最重要的威脅,以便快速回應。 請連絡您的帳戶小組或 Microsoft 代表以訂閱 Microsoft 威脅專家 - 隨選專家,以洽詢我們的威脅專家,瞭解相關的偵測和敵人。

申請 Microsoft 威脅專家 - 針對性的攻擊通知服務

如果您已經是適用于端點的 Defender 客戶,您可以透過 Microsoft 365 Defender 入口網站套用。

  1. 從流覽窗格中,移至 [設定] > [一般>進階功能> Microsoft 威脅專家 - 目標攻擊通知]

  2. 按一下 [套用]

    Microsoft 威脅專家設定

  3. 輸入您的名稱和電子郵件地址,讓 Microsoft 可以在您的應用程式上回複您。

    Microsoft 威脅專家應用程式頁面上的 [名稱] 欄位

  4. 閱讀 隱私權聲明,然後在完成時按一下 [ 提交 ]。 一旦您的應用程式獲得核准,您將會收到歡迎電子郵件。

    Microsoft 威脅專家應用程式確認訊息

接受時,您會收到歡迎電子郵件,而且您會看到 [ 用] 按鈕變更為 「開啟」的切換。 如果您想要離開目標攻擊通知服務,請滑動切換開關「關閉」,然後按一下頁面底部的 [儲存 喜好設定 ]。

您將看到來自 Microsoft 威脅專家的針對性的攻擊通知的位置

您可以透過下列媒體從Microsoft 威脅專家接收目標攻擊通知:

  • 適用于端點的 Defender 入口 網站的事件頁面
  • 適用于端點的 Defender 入口網站的 警示 儀表板
  • OData 警示 APIREST API
  • 進階搜捕中的 DeviceAlertEvents 表格
  • 如果您選擇設定您的電子郵件

若要透過電子郵件接收目標攻擊通知,請建立電子郵件通知規則。

建立電子郵件通知規則

您可以建立規則來為通知收件者傳送電子郵件通知。 如需詳細資訊, 請參閱設定警示通知 以建立、編輯、刪除或疑難排解電子郵件通知。

檢視目標攻擊通知

在將系統設定為接收電子郵件通知之後,您將開始在電子郵件中收到來自 Microsoft 威脅專家針對性的攻擊通知。

  1. 按一下電子郵件中的連結,移至以 威脅專家 標記的儀表板中對應的警示內容。

  2. 從儀表板中,選取您從電子郵件取得的相同警示主題,以檢視詳細資料。

訂閱 Microsoft 威脅專家 - 隨選專家

這是以訂用帳戶服務提供。 如果您已經是適用于端點的 Defender 客戶,您可以連絡您的 Microsoft 代表以訂閱Microsoft 威脅專家 - 隨選專家。

向 Microsoft 威脅專家諮詢您的組織中可疑的網路安全性活動

您可以與可直接從Microsoft 365 Defender入口網站參與回應的Microsoft 威脅專家合作。 專家提供深入解析,以進一步瞭解您取得的複雜威脅、目標攻擊通知,或如果您需要有關警示、可能遭到入侵的裝置,或您在入口網站儀表板上看到的威脅情報內容的詳細資訊。

注意

  • 目前不支援與貴組織自訂威脅情報資料相關的警示查詢。 如需詳細資訊,請洽詢您的安全性作業或事件回應小組。
  • 您必須在Microsoft 365 Defender入口網站中擁有 [管理安全性設定] 許可權,才能提交「諮詢威脅專家」查詢。
  1. 流覽至入口網站頁面,其中包含您想要調查的相關資訊,例如 [ 事件 ] 頁面。 傳送調查要求之前,請確定相關警示或裝置的頁面已在檢視中。

  2. 從右上方功能表中,按一下 圖示。 然後,選 取 [諮詢威脅專家]

    Microsoft 威脅專家專家隨選功能表項目

    飛出視窗畫面隨即開啟。 下列畫面顯示您何時使用試用版訂用帳戶。

    Microsoft 威脅專家專家隨選頁面

    下列畫面顯示您何時使用完整Microsoft 威脅專家 - 隨選專家訂用帳戶。

    Microsoft 威脅專家專家隨選完整訂用帳戶頁面

    [ 查詢] 主題 欄位會預先填入調查要求相關頁面的連結。 例如,您在提出要求時所處的事件、警示或裝置詳細資料頁面連結。

  3. 在下一個欄位中,提供足夠資訊,讓 Microsoft 威脅專家有足夠的內容可開始調查。

  4. 輸入要用於與 Microsoft 威脅專家對應的電子郵件地址。

注意

如果您想要透過 Microsoft Services Hub 追蹤專家隨選案例的狀態,請連絡您的客戶成功帳戶管理員。

觀看此影片,快速了解 Microsoft 服務中樞的概觀。

您可以與Microsoft 威脅專家諮詢的範例調查主題 - 隨選專家

警示資訊

  • 我們看到即時異地二進位檔有一種新類型的警示:[AlertID]。 您可以告訴我們有關此警示的詳細資訊,以及如何進一步調查嗎?
  • 我們觀察到兩個類似的攻擊,嘗試執行惡意的 PowerShell 腳本,但會產生不同的警示。 一個為「可疑的 PowerShell 命令列」,另一個為「根據 O365 提供的指示偵測到惡意檔案」。 有何不同?
  • 我今天收到來自高設定檔使用者裝置之異常登入次數異常的奇數警示。 我找不到關於這些登入嘗試的任何進一步證據。 適用于端點的 Defender 如何看到這些嘗試? 正在監視哪種類型的登入?
  • 您是否可以提供有關此警示的更多內容或見解:「觀察到系統公用程式的可疑行為」。

可能的機器洩露

  • 您可以協助回答為什麼我們看到「觀察到未知的進程?」 此訊息或警示經常出現在許多裝置上。 我們非常感謝您提供任何意見,以釐清此訊息或警示是否與惡意活動相關。
  • 您是否可以使用與 [month] 中相同系統上先前的 [惡意程式碼名稱] 惡意程式碼偵測類似的行為,在 [date] 上驗證下列系統上可能的入侵嗎?

威脅情報詳細資料

  • 我們偵測到將惡意 Word 文件傳送給使用者的網路釣魚電子郵件。 惡意 Word 檔造成一系列可疑事件,觸發多個適用于端點的 Defender 警示[惡意程式碼名稱] 惡意程式碼。 有任何關於此惡意程式碼的資訊嗎? 如果是,您可以傳送連結給我嗎?
  • 我最近看到 [社交媒體參考,例如 Twitter 或部落格] 文章,內容是關於以我的產業為目標的威脅。 您可以協助我瞭解適用于端點的 Defender 針對此威脅執行者提供哪些保護嗎?

Microsoft 威脅專家的警示通訊

  • 您的事件回應團隊可以協助我們解決所收到的針對性的攻擊通知嗎?

  • 我收到來自Microsoft 威脅專家的這個目標攻擊通知。 我們沒有自己的事件回應小組。 我們目前可以做什麼,以及如何抑制該事件?

  • 我收到來自Microsoft 威脅專家的目標攻擊通知。 您可以提供什麼資料給我們,讓我們可以傳遞給事件回應團隊?

    注意

    Microsoft 威脅專家是受控網路安全性搜捕服務,而不是事件回應服務。 不過,您可以與您自己的事件回應團隊接洽,以解決需要事件回應的問題。 如果您沒有自己的事件回應小組,而且想要 Microsoft 的協助,您可以與 CSS 網路安全性事件回應小組 (CIRT) 互動。 他們可以開啟票證來協助解決您的查詢。

案例

接收有關受管理搜捕查詢的進度報告

來自Microsoft 威脅專家的回應會根據您的查詢而有所不同。 他們會在兩天內以電子郵件傳送進度報告給您諮詢 威脅專家 查詢,以傳達下列類別的調查狀態:

  • 需要更多資訊才能繼續進行調查
  • 需要一個檔案或數個檔案範例,才能判斷技術內容
  • 調查需要更多時間
  • 初始資訊足以完成調查

請務必快速回應 ,讓調查持續進行。