Collaborer avec des experts à la demande
S’applique à :
Remarque
Demandez aux experts Defender est inclus dans votre abonnement Experts Defender pour la détection avec des allocations trimestrielles.
Sélectionnez Demander aux experts Defender directement dans le portail de sécurité Microsoft 365 pour obtenir des réponses rapides et précises à toutes vos questions sur la chasse aux menaces. Les experts peuvent fournir des informations pour mieux comprendre les menaces complexes auxquelles votre organization peut faire face. Demandez aux experts Defender de vous aider :
- Collecter des informations supplémentaires sur les alertes et les incidents, y compris les causes racines et l’étendue
- Clarifier les appareils, alertes ou incidents suspects et prendre les mesures suivantes si vous êtes confronté à un attaquant avancé
- Déterminer les risques et les protections disponibles liés aux acteurs des menaces, aux campagnes ou aux techniques d’attaquant émergentes
Autorisations requises pour utiliser Ask Defender Experts
Vous devez sélectionner l’un des rôles de Microsoft Entra ID suivants pour afficher et envoyer des demandes à nos experts Defender.
Microsoft Entra ID rôle | Niveau d’autorisation |
---|---|
Lecteur global, Lecteur de sécurité | Lire les demandes de renseignements |
Global Administration, Security Administration, Security Operator | Lire et envoyer des demandes de renseignements |
Pour en savoir plus sur la façon dont Microsoft Entra ID rôles sont mappés à Microsoft Defender autorisations RBAC unifiées, consultez Microsoft Entra accès aux rôles globaux.
Spécialistes des menaces Microsoft clients qui utilisent la fonctionnalité Demander aux experts Defender pourront également utiliser les autorisations suivantes à partir de Microsoft Defender XDR RBAC unifié.
Microsoft Defender XDR rôle RBAC unifié | Niveau d’autorisation |
---|---|
Principes de base des données de sécurité | Lire |
Alertes, réponse | Lire et envoyer |
Où envoyer des demandes de renseignements à Demander aux experts Defender
L’option Demander aux experts Defender est disponible à plusieurs endroits dans le portail :
Menu Actions de la page de l’appareil :
Menu volant de la page d’inventaire des appareils :
Menu volant de la page Alertes :
Menu actions de la page Incidents :
Où afficher les réponses des experts Defender
Dans le portail
Vous pouvez afficher les réponses aux demandes envoyées à Demander aux experts Defender depuis un maximum de six mois en accédant aux messages Rapports>Defender Experts. Vous pouvez également poser des questions de suivi ou répondre avec plus d’informations aux experts Defender à partir de cette page.
Si vous avez inclus des adresses e-mail de contact lors de l’envoi de votre demande, ils recevront une notification par e-mail lorsqu’une réponse de Defender Experts est publiée.
Exemples de questions que vous pouvez poser auprès des experts Defender
Informations d’alerte
- Nous avons vu un nouveau type d’alerte pour un binaire vivant. Nous pouvons fournir l’ID d’alerte. Pouvez-vous nous en dire plus sur cette alerte et si elle est liée à un incident et comment nous pouvons l’examiner plus en détail ?
- Nous avons observé deux attaques similaires, qui tentent toutes deux d’exécuter des scripts PowerShell malveillants, mais génèrent des alertes différentes. L’une est « ligne de commande PowerShell suspecte » et l’autre est « Un fichier malveillant a été détecté en fonction de l’indication fournie par Office 365 ». Quelle est la différence ?
- Nous avons reçu une alerte étrange aujourd’hui concernant un nombre anormal d’échecs de connexion à partir de l’appareil d’un utilisateur de haut niveau. Nous ne trouvons aucune preuve supplémentaire pour ces tentatives. Comment Microsoft Defender XDR pouvez-vous voir ces tentatives ? Quel type de connexion est surveillé ?
- Pouvez-vous donner plus de contexte ou d’informations sur l’alerte et les incidents associés, « Un comportement suspect par un utilitaire système a été observé » ?
- J’ai observé une alerte intitulée « Création d’une règle de transfert/redirection ». Je crois que l’activité est sans gravité. Pouvez-vous me dire pourquoi j’ai reçu une alerte ?
Compromission possible de l’appareil
- Pouvez-vous nous expliquer pourquoi nous voyons un message ou une alerte pour « Processus inconnu observé » sur de nombreux appareils de notre organization ? Nous apprécions toute contribution pour clarifier si ce message ou cette alerte est lié à une activité ou à des incidents malveillants.
- Pouvez-vous aider à valider un compromis possible sur le système suivant, datant de la semaine dernière ? Il se comporte de la même façon qu’une détection de programme malveillant précédente sur le même système il y a six mois.
Détails du renseignement sur les menaces
- Nous avons détecté un e-mail d’hameçonnage qui a remis un document Word malveillant à un utilisateur. Le document a provoqué une série d’événements suspects, qui ont déclenché plusieurs alertes pour une famille de programmes malveillants particulière. Avez-vous des informations sur ce programme malveillant ? Si oui, pouvez-vous nous envoyer un lien ?
- Nous avons récemment vu un billet de blog sur une menace qui cible notre industrie. Pouvez-vous nous aider à comprendre la protection Microsoft Defender XDR contre cet acteur de menace ?
- Nous avons récemment observé une campagne d’hameçonnage menée contre nos organization. Pouvez-vous nous dire si cela a été ciblé spécifiquement sur notre entreprise ou vertical ?
communications d’alerte Experts Microsoft Defender pour la détection
- Votre équipe de réponse aux incidents peut-elle nous aider à traiter la notification des experts Defender que nous avons obtenue ?
- Nous avons reçu cette notification d’experts Defender de Experts Microsoft Defender pour la détection. Nous n’avons pas notre propre équipe de réponse aux incidents. Que pouvons-nous faire maintenant et comment pouvons-nous contenir l’incident ?
- Nous avons reçu une notification d’experts Defender de Experts Microsoft Defender pour la détection. Quelles données pouvez-vous nous fournir que nous pouvons transmettre à notre équipe de réponse aux incidents ?
Services qui ne sont pas dans l’étendue des experts Defender
Demander aux experts Defender est axé sur les produits qui ne sont inclus que dans Microsoft Defender XDR, c’est-à-dire, Microsoft Defender pour point de terminaison, Microsoft Defender pour Office, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity.
Le service ne couvre pas les scénarios suivants :
Demandes de renseignements relatives aux détections personnalisées : les demandes relatives aux détections personnalisées dans les produits ci-dessus ne peuvent pas être traitées dans Demander aux experts Defender, car nos experts n’ont généralement pas accès à ces données de télémétrie ni à la visibilité de la façon dont ces stratégies personnalisées ont été configurées. Voici quelques exemples de ces stratégies :
- Alertes avec source de stratégie = Coutume
- Source = de détectionTI personnalisée
- Titre = de l’alerteIndicateur d’anomalie
- Famille de menaces = Bloc Entreprise personnalisé uniquement
Demandes relatives aux produits non Microsoft Defender XDR - Les experts Defender ne gèrent pas les demandes de renseignements sur les produits non Defender XDR tels que Microsoft Defender pour le cloud, Microsoft Defender pour IoT, Microsoft Sentinel, Microsoft Purview, Microsoft Priva et d’autres produits de cybersécurité tiers.
Demandes de renseignements sur les bogues : les experts Defender ne gèrent pas les demandes concernant les bogues dans votre expérience produit dans le portail Defender XDR, comme les données manquantes sur la page d’alerte ou d’incident ou une action recommandée qui ne se termine pas lorsque vous l’utilisez. Vous pouvez contacter Support Microsoft via le Services Hub pour de tels problèmes.
Demandes de renseignements relatives aux problèmes de réponse aux incidents de sécurité - Demander aux experts Defender n’est pas un service de réponse aux incidents de sécurité. Il vise à mieux comprendre les menaces complexes qui affectent votre organization. Engage avec votre propre équipe de réponse aux incidents de sécurité pour résoudre les problèmes urgents de réponse aux incidents de sécurité. Si vous n’avez pas votre propre équipe de réponse aux incidents de sécurité et que vous souhaitez l’aide de Microsoft, créez une demande de support dans le Premier Services Hub.
Étape suivante
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.