按需与专家协作

适用于：

• Microsoft Defender XDR

在 Microsoft 365 安全门户中直接选择“ 询问 Defender 专家 ”，以快速准确地回答所有威胁搜寻问题。 专家可以提供见解，以便更好地了解组织可能面临的复杂威胁。 咨询 Defender 专家可以提供帮助：

• 收集有关警报和事件的其他信息，包括根本原因和范围
• 深入了解可疑设备、警报或事件，并在遇到高级攻击者时采取后续步骤
• 确定与威胁参与者、市场活动或新兴攻击者技术相关的风险和可用保护

使用 Ask Defender Experts 所需的权限

你需要选择以下Microsoft Entra ID角色之一来查看和提交我们的 Defender 专家的查询。

若要详细了解Microsoft Entra ID角色如何映射到统一 RBAC 权限Microsoft Defender，请参阅 Microsoft Entra全局角色访问权限。

在哪里向“询问 Defender 专家”提交查询

在整个门户中的多个位置都提供了 “询问 Defender 专家 ”选项：

• 设备页面操作菜单：

  

• 设备清单页浮出控件菜单：

  

• “警报”页浮出控件菜单：

  

• “事件”页操作菜单：

  

在何处查看 Defender 专家的响应

在门户中

可以通过导航到“报告> Defender 专家”消息，查看最多六个月前提交给“询问Defender 专家”的查询的回复。 你还可以通过此页面向 Defender 专家提出后续问题或回复详细信息。

电子邮件

如果在提交查询时包括了联系人电子邮件地址，他们将在发布 Defender Experts 的响应时收到电子邮件通知。

可以向 Defender 专家提出的示例问题

警报信息

• 我们看到了一种新型的警报，用于生活在陆地外的二进制文件。 我们可以提供警报 ID。 能否告诉我们有关此警报的详细信息，以及它是否与任何事件有关，以及如何进一步调查它？
• 我们观察到两个类似的攻击，它们都试图执行恶意 PowerShell 脚本，但生成不同的警报。 一个是“可疑的 PowerShell 命令行”，另一个是“根据Office 365提供的指示检测到恶意文件”。有什么区别？
• 今天，我们收到了一个奇怪的警报，说明来自高调用户的设备登录失败次数异常。 我们无法找到任何进一步的证据来证明这些尝试。 Microsoft Defender XDR如何查看这些尝试？ 正在监视哪些类型的登录名？
• 是否可以提供有关警报和任何相关事件的更多上下文或见解，“观察到系统实用工具的可疑行为”？
• 我观察到一个标题为“创建转发/重定向规则”的警报。 我相信活动是良性的。 你能告诉我为什么收到警报吗？

可能的设备泄露

• 你能否帮助解释为什么我们在组织中的许多设备上看到“观察到未知进程”的消息或警报？ 我们非常感谢任何输入来阐明此消息或警报是否与恶意活动或事件相关。
• 你能否帮助验证以下系统（从上周开始）可能存在的危害？ 它的行为与六个月前在同一系统上先前的恶意软件检测类似。

威胁情报详细信息

• 我们检测到一封钓鱼电子邮件，该电子邮件向用户传递了恶意Word文档。 该文档引发了一系列可疑事件，这些事件触发了针对特定恶意软件系列的多个警报。 你是否有有关此恶意软件的任何信息？ 如果是，是否可以向我们发送链接？
• 我们最近看到了一篇关于针对我们行业的威胁的博客文章。 能否帮助我们了解Microsoft Defender XDR针对此威胁参与者提供哪些保护？
• 我们最近观察到了针对我们组织的钓鱼活动。 你能告诉我们这是专门针对我们的公司还是垂直市场吗？

Microsoft Defender 搜寻专家警报通信

• 事件响应团队能否帮助我们解决我们获得的 Defender 专家通知？
• 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 我们没有自己的事件响应团队。 我们现在可以做什么，如何遏制事件？
• 我们收到了来自 Microsoft Defender 搜寻专家 的 Defender 专家通知。 你可以向我们提供哪些数据，我们可以传递给事件响应团队？

后续步骤

• 了解 Microsoft Defender XDR 中的Defender 搜寻专家报表