適用於:
注意事項
Ask Defender Experts 包含在您的 Defender Experts for Hunting 訂閱中,並以季度分配。
直接在 Microsoft 365 安全入口網站中選擇 「Ask Defender Experts」 ,即可獲得所有威脅狩獵問題的快速且準確回覆。 專家能提供見解,幫助你更深入了解組織可能面臨的複雜威脅。 Ask Defender 專家可以協助:
- 收集有關警示和事件的其他資訊,包括根本原因和範圍
- 釐清可疑裝置、警示或事件,若面對進階攻擊者,應採取行動
- 判斷與威脅執行者、活動或新興攻擊者技術相關的風險與可用的保護
使用 Ask Defender Experts 的必要權限
您需要選擇以下 Microsoft Entra ID 職缺之一,才能查看並向我們的 Defender 專家提交詢問。
| Microsoft Entra ID role | 權限層級 |
|---|---|
| 全球閱讀器,安全閱讀器 | 閱讀詢問 |
| 全域管理員、安全管理員、安全操作員 | 閱讀並提交詢問 |
欲了解更多 Microsoft Entra ID 角色如何對應至 Microsoft Defender Unified RBAC 權限,請參閱 Microsoft Entra Global 角色存取權限。
使用 Ask Defender Experts 功能的 Microsoft 威脅專家客戶,也能使用來自 Microsoft Defender 全面偵測回應統一 RBAC 的以下權限。
| Microsoft Defender 全面偵測回應統一 RBAC 角色 | 權限層級 |
|---|---|
| 安全資料基礎 | 讀取 |
| 警報與回應 | 閱讀並提交 |
向 Ask Defender Experts 提交詢問的管道
「向辯護專家詢問」的選項可在入口網站多個地方提供:
裝置頁面操作選單:
裝置庫存頁面的跳出選單:
警示頁面飛出選單:
事件頁面操作選單:
在哪裡可以查看Defender Experts的回應
入口網站
您可以透過「報告>」DefenderExperts 訊息瀏覽六個月前提交的詢問回應。 您也可以從本頁向Defender Experts提出後續問題或回覆更多資訊。
電子郵件
如果您在提交詢問時附上聯絡電子郵件地址,當 Defender Experts 回覆發布時,他們會收到電子郵件通知。
你可以向Defender Experts提出的範例問題
警示資訊
- 我們看到針對 LOLBIN (Living Off the Land Binary) 的一種新類型的警示。 我們可以提供警示識別碼。 您能多談談這次警報,以及是否與任何事件有關,以及我們如何進一步調查嗎?
- 我們觀察到兩個類似的攻擊,這兩種攻擊都會嘗試執行惡意 PowerShell 指令碼,但會產生不同的警示。 一個是「可疑的 PowerShell 命令列」,另一個是「根據 Office 365 提供的指示偵測到惡意檔案」。兩者有什麼不同?
- 我們今天收到一則奇怪的警示,關於一位高知名度用戶裝置異常多的登入失敗案例。 我們找不到這些嘗試的任何進一步辨識項。 Microsoft Defender 全面偵測回應這些嘗試如何? 正在監視哪種類型的登入?
- 你能提供更多關於警報及相關事件的背景或見解嗎?「系統公用事業公司觀察到可疑行為」?
- 我觀察到標題為「建立轉送/重新導向規則」的警示。 我認為此活動是無害的。 可以告訴我為什麼會收到警示嗎?
裝置可能遭到入侵
- 可以協助說明為什麼我們會在組織的許多裝置上看到「觀察到未知的程序」訊息或警示嗎? 我們感謝任何能釐清此訊息或警示是否與惡意活動或事件有關的意見。
- 可以協助我們驗證下列系統上 (上週開始) 可能遭受的入侵嗎? 它的行為與六個月前在相同系統上先前的惡意程式碼偵測類似。
威脅情報詳細資料
- 我們偵測到將惡意 Word 文件傳送給使用者的網路釣魚電子郵件。 該文件會導致一系列的可疑事件,其會觸發特定惡意程式碼系列的多個警示。 有任何關於此惡意程式碼的資訊嗎? 如果有,可以傳送連結給我們嗎?
- 我們最近看到一篇部落格文章,它是關於以我們的產業為目標的威脅。 您能協助我們了解 Microsoft Defender 全面偵測回應這項威脅行為者提供哪些防護嗎?
- 我們最近觀察到針對我們組織進行的網路釣魚活動。 可以告訴我們這是專門鎖定我們的公司或行業嗎?
Microsoft Defender 專家追蹤警示通訊
- 您的事件應變團隊能否協助我們處理收到的 Defender 專家通知?
- 我們收到了來自 Microsoft Defender Experts for Hunting 的 Defender 專家通知。 我們沒有自己的事件應變團隊。 我們目前可以做什麼,以及如何抑制該事件?
- 我們收到了來自 Microsoft Defender Experts for Hunting 的 Defender 專家通知。 您可以提供什麼資料給我們,讓我們可以傳遞給事件回應團隊?
Defender Experts 不在範圍內的服務
Ask Defender Experts 專注於僅包含於 Microsoft Defender 全面偵測回應 的產品,也就是 適用於端點的 Microsoft Defender,Microsoft Defender for Office,Microsoft Defender for Cloud Apps 以及 適用於身分識別的 Microsoft Defender。
該服務不涵蓋以下情境:
與自訂偵測相關的詢問——上述產品中自訂偵測的詢問無法在 Ask Defender Experts 處理,因為我們的專家通常無法取得這些遙測資料或了解這些自訂政策的設定過程。 此類政策的範例包括:
- 包含政策來源 = 的警示習俗
- 偵測源 = 自訂 TI
- 警示標題 = 異常指標
- 威脅家族 = 僅限自訂企業區塊
非 Microsoft Defender 全面偵測回應產品相關詢問——Defender 專家不處理非 Defender 全面偵測回應產品,如 Microsoft Defender for Cloud、Microsoft Defender for IoT、Microsoft Sentinel 等、Microsoft Purview、Microsoft Priva 及其他第三方資安產品。
關於錯誤的詢問——Defender Experts 不處理 Microsoft Defender 入口網站中產品體驗中的錯誤問題,例如警示或事件頁面缺少資料,或建議行動在你執行時未完成。 你可以透過服務中心聯絡 Microsoft 支援服務部門處理此類問題。
有關安全事件回應問題的詢問——Ask Defender Experts 並非安全事件應變服務。 它的目的是提供對影響你組織的複雜威脅更深入的理解。 Engage 與您自己的安全事件應變團隊合作,處理緊急的安全事件應變問題。 如果你沒有自己的安全事件回應團隊,且希望獲得 Microsoft 的協助,請在 Premier Services Hub 建立支援請求。
下一步
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。