Collaborare con esperti su richiesta

  • Articolo

Si applica a:

Nota

Ask Defender Experts è incluso nella sottoscrizione Defender Experts for Hunting con allocazioni trimestrali. Tuttavia, non si tratta di un servizio di risposta agli eventi imprevisti di sicurezza. Ha lo scopo di fornire una migliore comprensione delle minacce complesse che interessano l'organizzazione. Engage con il proprio team di risposta agli eventi imprevisti di sicurezza per risolvere i problemi di risposta agli eventi imprevisti di sicurezza urgenti. Se non si dispone di un proprio team di risposta agli eventi imprevisti di sicurezza e si desidera l'aiuto di Microsoft, creare una richiesta di supporto nel Premier Services Hub.

Selezionare Ask Defender Experts direttamente all'interno del portale di sicurezza di Microsoft 365 per ottenere risposte rapide e accurate a tutte le domande di ricerca delle minacce. Gli esperti possono fornire informazioni dettagliate per comprendere meglio le minacce complesse che l'organizzazione potrebbe affrontare. Chiedere a Defender Experts può essere utile:

  • Raccogliere informazioni aggiuntive su avvisi e eventi imprevisti, incluse le cause radice e l'ambito
  • Ottenere maggiore chiarezza su dispositivi, avvisi o eventi imprevisti sospetti ed eseguire i passaggi successivi se si trova di fronte a un utente malintenzionato avanzato
  • Determinare i rischi e le protezioni disponibili correlate a attori delle minacce, campagne o tecniche di attacco emergenti

Screenshot della finestra di dialogo Chiedi agli esperti di Defender.

Autorizzazioni necessarie per l'uso di Ask Defender Experts

È necessario selezionare uno dei ruoli di Microsoft Entra ID seguenti per visualizzare e inviare richieste agli esperti di Defender.

ruolo Microsoft Entra ID Livello di autorizzazione
Lettore globale, lettore di sicurezza Leggere le richieste
Global Amministrazione, Security Amministrazione, Security Operator Leggere e inviare richieste

Per altre informazioni sul mapping dei ruoli Microsoft Entra ID alle autorizzazioni controllo degli accessi in base al ruolo unificato Microsoft Defender, vedere Microsoft Entra Accesso ai ruoli globali.

Microsoft Threat Experts clienti che usano la funzionalità Ask Defender Experts potranno anche usare le autorizzazioni seguenti da Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.

Microsoft Defender XDR ruolo Controllo degli accessi in base al ruolo unificato Livello di autorizzazione
Nozioni di base per i dati di sicurezza Lettura
Avvisi, risposta Leggere e inviare

Dove inviare richieste a Ask Defender Experts

L'opzione Ask Defender Experts è disponibile in diverse posizioni nel portale:

  • Menu azioni pagina dispositivo:

    Screenshot dell'opzione di menu Chiedi agli esperti defender nel menu azione della pagina Dispositivo nel portale di Microsoft Defender.

  • Menu a comparsa della pagina di inventario dei dispositivi:

    Screenshot dell'opzione di menu Ask Defender Experts nel menu a comparsa della pagina Inventario dispositivi nel portale di Microsoft Defender.

  • Menu a comparsa della pagina Avvisi:

    Screenshot dell'opzione di menu Chiedi agli esperti defender nel menu a comparsa della pagina Avvisi nel portale di Microsoft Defender.

  • Menu azioni pagina eventi imprevisti:

    Screenshot dell'opzione di menu Chiedi agli esperti defender nel menu Azioni della pagina Eventi imprevisti nel portale di Microsoft Defender.

Dove visualizzare le risposte di Defender Experts

Nel portale

È possibile visualizzare le risposte alle richieste inviate a Ask Defender Experts da un massimo di sei mesi fa passando ai messaggi Report>Defender Experts. Sarà anche possibile porre domande di follow-up o rispondere con altre informazioni a Defender Experts da questa pagina.

Screenshot della risposta gestita nel portale.

Posta elettronica

Se sono stati inclusi indirizzi di posta elettronica di contatto durante l'invio della richiesta, riceveranno una notifica tramite posta elettronica quando viene pubblicata una risposta di Defender Experts.

Screenshot della risposta gestita basata sulla posta elettronica.

Nota

Defender Experts non sarà in grado di assistere l'utente nelle richieste relative a bug o problemi nell'esperienza del prodotto nel portale di Microsoft Defender XDR. È possibile contattare supporto tecnico Microsoft tramite l'Hub servizi per informazioni su tali richieste.

Domande di esempio che è possibile porre da Defender Experts

Informazioni sugli avvisi

  • Abbiamo visto un nuovo tipo di avviso per un binario living-off-the-land. È possibile specificare l'ID avviso. È possibile dirci di più su questo avviso e se è correlato a qualsiasi evento imprevisto e come possiamo indagare ulteriormente?
  • Sono stati osservati due attacchi simili, che tentano entrambi di eseguire script di PowerShell dannosi ma generano avvisi diversi. Uno è "Riga di comando di PowerShell sospetta" e l'altro è "È stato rilevato un file dannoso in base all'indicazione fornita da Office 365". Qual è la differenza?
  • Oggi è stato ricevuto un avviso dispari relativo a un numero anomalo di accessi non riusciti dal dispositivo di un utente di alto profilo. Non è possibile trovare altre prove per questi tentativi. Come può Microsoft Defender XDR vedere questi tentativi? Che tipo di account di accesso vengono monitorati?
  • È possibile fornire più contesto o informazioni dettagliate sull'avviso e su eventuali eventi imprevisti correlati, "Comportamento sospetto osservato da un'utilità di sistema"?
  • È stato rilevato un avviso denominato "Creazione della regola di inoltro/reindirizzamento". Credo che l'attività sia benigna. Può dirmi perché ho ricevuto un avviso?

Possibile compromissione del dispositivo

  • È possibile spiegare perché viene visualizzato un messaggio o un avviso per "Processo sconosciuto osservato" in molti dispositivi dell'organizzazione? Apprezziamo qualsiasi input per chiarire se questo messaggio o avviso è correlato a attività o eventi imprevisti dannosi.
  • Si può contribuire a convalidare un possibile compromesso sul sistema seguente, risalente alla scorsa settimana? Si comporta in modo analogo a un rilevamento di malware precedente nello stesso sistema sei mesi fa.

Dettagli dell'intelligence sulle minacce

  • È stato rilevato un messaggio di posta elettronica di phishing che ha recapitato un documento di Word dannoso a un utente. Il documento ha causato una serie di eventi sospetti, che hanno attivato più avvisi per una particolare famiglia di malware. Avete informazioni su questo malware? In caso affermativo, è possibile inviare un collegamento?
  • Di recente è stato visualizzato un post di blog su una minaccia destinata al nostro settore. Puoi aiutarci a capire quale protezione Microsoft Defender XDR offre contro questo attore di minaccia?
  • Di recente è stata osservata una campagna di phishing condotta contro la nostra organizzazione. Può dirci se questo è stato mirato in modo specifico alla nostra azienda o verticale?

Microsoft Defender Experts for Hunting comunicazioni di avviso

  • Il team di risposta agli eventi imprevisti può aiutarci ad affrontare la notifica degli esperti defender che abbiamo ricevuto?
  • Questa notifica di Defender Experts è stata ricevuta da Microsoft Defender Experts for Hunting. Non è disponibile un team di risposta agli eventi imprevisti. Cosa possiamo fare ora e come possiamo contenere l'evento imprevisto?
  • È stata ricevuta una notifica di Defender Experts da Microsoft Defender Experts for Hunting. Quali dati è possibile fornire al team di risposta agli eventi imprevisti?

Passaggio successivo

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.