开始使用 Microsoft Defender 专家进行搜寻

适用于：

• Microsoft Defender XDR

载入

如果你不熟悉Microsoft Defender XDR 和 Defender Experts for Hunting：

1. 收到欢迎电子邮件后，选择“ 登录到 Microsoft Defender XDR”。
2. 如果已有Microsoft帐户，请登录。 如果没有，请创建一个。
3. Microsoft Defender XDR 快速教程可让你熟悉安全套件、功能的位置及其重要性。 选择“ 快速浏览”。
4. 阅读有关 Defender 专家服务Microsoft及其提供的功能的简短说明。 选择“下一步”。 你将看到欢迎页：

接收 Defender 专家通知

Defender 专家通知服务包括：

• 威胁监视和分析，减少停留时间和业务风险
• 猎人训练的人工智能，以发现和瞄准已知攻击和新出现的威胁
• 识别最相关的风险，帮助 SOC 最大化其有效性
• 帮助确定泄露范围，并尽可能多地提供上下文，以实现快速的 SOC 响应

请参阅以下屏幕截图，查看 Defender 专家通知示例：

在何处查找 Defender 专家通知

可以通过以下媒体接收来自 Defender 专家的 Defender 专家通知：

• Microsoft Defender 门户的 “事件” 页
• Microsoft Defender 门户的 “警报 ”页
• OData 警报 API 和 REST API
• 高级搜寻中的 DeviceAlertEvents 表
• 如果 配置电子邮件通知规则，则为电子邮件

筛选以仅查看 Defender 专家通知

如果只想在多个警报中查看 Defender 专家通知，则可以筛选事件和警报。 为此，请执行以下操作：

1. 在导航菜单上，转到 “事件 & 警报>事件> ”，选择 图标。
2. 向下滚动到 “服务/检测源 ”，然后选中 “Microsoft Defenderfor Endpoint 和 MicrosoftDefender XDR”下的“Microsoft Defender 专家”复选框。
3. 选择“应用”。

设置 Defender 专家电子邮件通知

可以设置 Microsoft Defender XDR，通过电子邮件通知你或你的员工有关新事件或现有事件的更新，包括 Microsoft Defender 专家观察到的事件。 详细了解如何通过电子邮件获取事件通知

1. 在“Microsoft Defender XDR”导航窗格中，选择 “设置>Microsoft Defender XDR>电子邮件通知>事件”。
2. 更新现有电子邮件通知规则或创建新的电子邮件通知规则。 有关详细信息，请参阅 审核。
3. 在规则的 “通知设置 ”页上，确保配置以下内容：
   • 源 - 在 Microsoft DefenderXDR 和 Microsoft Defender for Endpoint 下选择Microsoft Defender 专家
   • 警报严重性 – 选择将触发事件通知的警报严重性。 例如，如果仅想收到高严重度事件的通知，请选择“高”。

生成示例 Defender 专家通知

可以生成一个示例 Defender 专家通知，开始体验 Defender Experts for Hunting 服务，而无需等待环境中发生实际的关键活动。 通过生成示例通知，还可以测试以前在 Microsoft Defender 门户中为此服务配置 的电子邮件通知 ，并测试 playbook (的配置（如果针对安全信息和事件管理 (SIEM) 环境中的此类通知) 和规则进行配置）。

示例 Defender 专家通知显示在 “事件 ”页中，标题为 Defender Experts： Test Notification from Microsoft Defender Experts。 通知 的内容 是占位符文本，而其他元素（例如警报）是从租户中存在的事件随机生成的，实际上不会受到影响。

若要生成示例通知，请执行以下操作：

1. 在 Microsoft Defender XDR 导航窗格中，转到“设置Defender 专家”>，然后选择“示例通知”。
2. 选择“ 生成示例通知”。 此时会显示一条绿色状态消息，确认示例通知已准备好进行评审。
3. 在 “最近生成的 Defender 专家通知”下，从列表中选择一个链接，以查看其相应的生成示例通知。 最新示例显示在列表顶部。 选择链接会将你重定向到 “事件 ”页。

后续步骤

• 使用 Microsoft Graph 安全 API 访问 Defender 专家通知