Share via

與隨選專家共同作業

  • 發行項

適用於:

注意事項

要求 Defender 專家包含在您的 Defender 搜補專家 訂用帳戶中,並具有每月配置。 不過,這不是安全性事件回應服務。 其目的是要讓您更加瞭解影響貴組織的複雜威脅。 Engage 與您自己的安全性事件回應小組合作,以解決緊急安全性事件響應問題。 如果您沒有自己的安全性事件回應小組,而且想要 Microsoft 的協助,請在 Premier Services Hub 中建立支援要求。

選取 [直接在 Microsoft 365 安全性入口網站中 詢問 Defender 專家 ],以快速且精確地回應所有威脅搜捕問題。 專家可以提供深入解析,進一步瞭解貴組織可能面臨的複雜威脅。 詢問 Defender 專家可以協助:

  • 收集有關警示和事件的其他資訊,包括根本原因和範圍
  • 清楚瞭解可疑的裝置、警示或事件,並在遇到進階攻擊者時採取後續步驟
  • 判斷與威脅執行者、活動或新興攻擊者技術相關的風險與可用的保護

在詢問 Defender 專家面板中提交查詢的必要許可權

您必須先選取下列其中一個許可權,再向我們的 Defender 專家提交查詢。 如需角色型訪問控制 (RBAC) 許可權的詳細資訊,請參閱:適用於端點的 Microsoft Defender 和 Microsoft Defender 全面偵測回應 RBAC 許可權

產品名稱 產品 RBAC 許可權
適用於端點的 Microsoft Defender RBAC 在資訊安全中心管理安全性設定
Microsoft Defender 全面偵測回應 整合 RBAC 授權和設定 \ 安全性設定 \ 核心安全性設定 (管理)
授權和設定 \ 安全性設定 \ 偵測微調 (管理)

哪裡可以找到 Ask Defender 專家

您可以在入口網站的數個地方使用 [詢問 Defender 專家 ] 選項:

  • 裝置頁面動作功能表

螢幕快照:Microsoft Defender 入口網站中 [裝置] 頁面動作功能表中的 [詢問 Defender 專家] 功能表選項。

  • 裝置庫存頁面飛出視窗功能表

螢幕快照:Microsoft Defender 入口網站中 [裝置清查] 頁面飛出視窗功能表中的 [詢問 Defender 專家] 功能表選項。

  • 警示頁面飛出視窗功能表

螢幕快照:Microsoft Defender 入口網站中 [警示] 頁面飛出視窗功能表中的 [詢問 Defender 專家] 功能表選項。

  • 事件頁面動作功能表

螢幕快照:Microsoft Defender 入口網站中 [事件] 頁面動作功能表中的 [詢問 Defender 專家] 功能表選項。

您可以向 Defender 專家詢問的範例問題

警示資訊

  • 我們看到針對 LOLBIN (Living Off the Land Binary) 的一種新類型的警示。 我們可以提供警示識別碼。 您可以告訴我們有關此警示的詳細資訊,以及它是否與任何事件有關,以及如何進一步調查?
  • 我們觀察到兩個類似的攻擊,這兩種攻擊都會嘗試執行惡意 PowerShell 指令碼,但會產生不同的警示。 其中一個是「可疑的 PowerShell 命令行」,另一個是「根據 Office 365 提供的指示偵測到惡意檔案」。有何差異?
  • 我們今天收到關於來自高配置檔用戶裝置之異常登入次數的奇數警示。 我們找不到這些嘗試的任何進一步辨識項。 Microsoft Defender 全面偵測回應 如何查看這些嘗試? 正在監視哪種類型的登入?
  • 您可以提供更多有關警示和任何相關事件的內容或深入解析,「觀察到系統公用程式的可疑行為」嗎?
  • 我觀察到標題為「建立轉送/重新導向規則」的警示。 我認為此活動是無害的。 可以告訴我為什麼會收到警示嗎?

可能的裝置入侵

  • 可以協助說明為什麼我們會在組織的許多裝置上看到「觀察到未知的程序」訊息或警示嗎? 我們感謝任何輸入,以釐清此訊息或警示是否與惡意活動或事件相關。
  • 可以協助我們驗證下列系統上 (上週開始) 可能遭受的入侵嗎? 它的行為與六個月前在相同系統上先前的惡意程式碼偵測類似。

威脅情報詳細資料

  • 我們偵測到將惡意 Word 文件傳送給使用者的網路釣魚電子郵件。 該文件會導致一系列的可疑事件,其會觸發特定惡意程式碼系列的多個警示。 有任何關於此惡意程式碼的資訊嗎? 如果有,可以傳送連結給我們嗎?
  • 我們最近看到一篇部落格文章,它是關於以我們的產業為目標的威脅。 您可以協助我們瞭解 Microsoft Defender 全面偵測回應 針對此威脅執行者提供哪些保護嗎?
  • 我們最近觀察到針對我們組織進行的網路釣魚活動。 可以告訴我們這是專門鎖定我們的公司或行業嗎?

Microsoft Defender 搜補專家 警示通訊

  • 您的事件回應小組可以協助我們處理我們收到的 Defender 專家通知嗎?
  • 我們從 Microsoft Defender 搜補專家 收到此 Defender 專家通知。 我們沒有自己的事件回應小組。 我們目前可以做什麼,以及如何抑制該事件?
  • 我們收到來自 Microsoft Defender 搜補專家的Defender專家通知。 您可以提供什麼資料給我們,讓我們可以傳遞給事件回應團隊?

下一步

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。