Colaboración con expertos a petición

Se aplica a:

• Microsoft Defender XDR

Seleccione Preguntar a expertos de Defender directamente en el portal de seguridad de Microsoft 365 para obtener respuestas rápidas y precisas a todas las preguntas de búsqueda de amenazas. Los expertos pueden proporcionar información para comprender mejor las amenazas complejas a las que puede enfrentarse su organización. Preguntar a expertos de Defender puede ayudar a:

• Recopilación de información adicional sobre alertas e incidentes, incluidas las causas principales y el ámbito
• Obtenga claridad sobre los dispositivos sospechosos, las alertas o los incidentes y realice los pasos siguientes si se enfrenta a un atacante avanzado.
• Determinación de riesgos y protecciones disponibles relacionadas con actores de amenazas, campañas o técnicas de atacantes emergentes

Permisos necesarios para usar Ask Defender Experts

Debe seleccionar uno de los siguientes roles de Microsoft Entra ID para ver y enviar consultas a nuestros expertos de Defender.

Para obtener más información sobre cómo Microsoft Entra ID roles se asignan a Microsoft Defender permisos de RBAC unificados, consulte Microsoft Entra Acceso a roles globales.

Expertos en amenazas de Microsoft clientes que usan la funcionalidad Ask Defender Experts también podrán usar los siguientes permisos de Microsoft Defender XDR RBAC unificado.

Dónde enviar consultas a expertos de Defender

La opción preguntar a expertos de Defender está disponible en varios lugares del portal:

• Menú acciones de página del dispositivo:

  

• Menú flotante de la página inventario de dispositivos:

  

• Menú flotante de la página Alertas:

  

• Menú acciones de la página Incidentes:

  

Dónde ver las respuestas de los expertos de Defender

En el portal

Puede ver las respuestas a las consultas enviadas a los expertos de Ask Defender desde hace hasta seis meses. Para ello, vaya a Informes>de mensajes de expertos de Defender. También puede hacer preguntas de seguimiento o responder con más información a expertos de Defender desde esta página.

Correo electrónico

Si incluyó direcciones de correo electrónico de contacto al enviar su consulta, recibirán una notificación por correo electrónico cuando se publique una respuesta de expertos de Defender.

Preguntas de ejemplo que puede formular de expertos de Defender

Información de alerta

• Vimos un nuevo tipo de alerta para un binario que vive fuera de la tierra. Podemos proporcionar el identificador de alerta. ¿Puede decirnos más sobre esta alerta y si está relacionada con algún incidente y cómo podemos investigarla más?
• Hemos observado dos ataques similares, que intentan ejecutar scripts malintencionados de PowerShell pero generan alertas diferentes. Una es "Línea de comandos sospechosa de PowerShell" y la otra es "Se detectó un archivo malintencionado en función de la indicación proporcionada por Office 365". ¿Cuál es la diferencia?
• Hemos recibido una alerta impar hoy sobre un número anómalo de inicios de sesión erróneos desde el dispositivo de un usuario de alto perfil. No podemos encontrar más pruebas para estos intentos. ¿Cómo puede Microsoft Defender XDR ver estos intentos? ¿Qué tipo de inicios de sesión se están supervisando?
• ¿Puede proporcionar más contexto o información sobre la alerta y cualquier incidente relacionado, "Se observó un comportamiento sospechoso por parte de una utilidad del sistema"?
• Observé una alerta titulada "Creación de una regla de reenvío/redireccionamiento". Creo que la actividad es benigna. ¿Puede decirme por qué he recibido una alerta?

Posible peligro del dispositivo

• ¿Puede ayudar a explicar por qué vemos un mensaje o una alerta de "Proceso desconocido observado" en muchos dispositivos de nuestra organización? Agradecemos cualquier entrada para aclarar si este mensaje o alerta está relacionado con actividades malintencionadas o incidentes.
• ¿Puede ayudar a validar un posible compromiso en el siguiente sistema, que data de la semana pasada? Se comporta de forma similar a una detección de malware anterior en el mismo sistema hace seis meses.

Detalles de inteligencia sobre amenazas

• Hemos detectado un correo electrónico de suplantación de identidad (phishing) que ha entregado un documento de Word malintencionado a un usuario. El documento provocó una serie de eventos sospechosos, que desencadenaron varias alertas para una familia de malware determinada. ¿Tiene alguna información sobre este malware? Si es así, ¿puedes enviarnos un enlace?
• Recientemente hemos visto una entrada de blog sobre una amenaza que está dirigida a nuestro sector. ¿Puede ayudarnos a comprender qué protección Microsoft Defender XDR proporciona contra este actor de amenazas?
• Recientemente hemos observado una campaña de suplantación de identidad realizada contra nuestra organización. ¿Puede decirnos si se ha dirigido específicamente a nuestra empresa o vertical?

Expertos de detección de Microsoft Defender comunicaciones de alertas

• ¿Puede el equipo de respuesta a incidentes ayudarnos a abordar la notificación de expertos de Defender que tenemos?
• Hemos recibido esta notificación de expertos de Defender de Expertos de detección de Microsoft Defender. No tenemos nuestro propio equipo de respuesta a incidentes. ¿Qué podemos hacer ahora y cómo podemos contener el incidente?
• Hemos recibido una notificación de expertos de Defender de Expertos de detección de Microsoft Defender. ¿Qué datos puede proporcionarnos que podemos pasar a nuestro equipo de respuesta a incidentes?

Servicios que no están en el ámbito de los expertos de Defender

Ask Defender Experts se centra en productos que solo se incluyen en Microsoft Defender XDR, es decir, Microsoft Defender para punto de conexión, Microsoft Defender para Office, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity.

El servicio no cubre los siguientes escenarios:

• Consultas relacionadas con detecciones personalizadas: las consultas relacionadas con detecciones personalizadas en los productos anteriores no se pueden controlar en Ask Defender Experts porque nuestros expertos normalmente no tienen acceso a dicha telemetría ni visibilidad sobre cómo se configuraron estas directivas personalizadas. Algunos ejemplos de estas directivas son:

  • Alertas con origen de = directivaCostumbre
  • Origen = de detecciónTI personalizado
  • Título = de la alertaIndicador de anomalía
  • Familia de = amenazasSolo bloque de empresa personalizado

• Consultas relacionadas con productos que no son Microsoft Defender XDR: los expertos de Defender no controlan las consultas sobre productos no Defender XDR, como Microsoft Defender for Cloud, Microsoft Defender para IoT, Microsoft Sentinel, Microsoft Purview, Microsoft Priva y otros productos de ciberseguridad de terceros.

• Consultas relacionadas con errores: los expertos de Defender no controlan las consultas relacionadas con errores en la experiencia del producto en el portal de Defender XDR, como la falta de datos en la página de alertas o incidentes o una acción recomendada que no se completa cuando se realiza la acción. Puede ponerse en contacto con Soporte técnico de Microsoft a través del Centro de servicios con respecto a estos problemas.

• Consultas relacionadas con problemas de respuesta a incidentes de seguridad: Preguntar a expertos de Defender no es un servicio de respuesta a incidentes de seguridad. Está pensado para proporcionar una mejor comprensión de las amenazas complejas que afectan a su organización. Engage con su propio equipo de respuesta a incidentes de seguridad para solucionar problemas urgentes de respuesta a incidentes de seguridad. Si no tiene su propio equipo de respuesta a incidentes de seguridad y desea la ayuda de Microsoft, cree una solicitud de soporte técnico en el Centro de servicios Premier.

Paso siguiente

• Descripción del informe de Expertos de detección de Defender en Microsoft Defender XDR