주문형 전문가와 공동 작업
적용 대상:
참고
Defender 전문가에게 문의는 분기별 할당을 사용하여 헌팅용 Defender 전문가 구독에 포함됩니다.
Microsoft 365 보안 포털 내에서 직접 Defender 전문가에게 문의 를 선택하여 모든 위협 헌팅 질문에 대한 신속하고 정확한 응답을 얻습니다. 전문가들은 organization 직면할 수 있는 복잡한 위협을 더 잘 이해할 수 있는 인사이트를 제공할 수 있습니다. Defender 전문가에게 문의하면 다음을 도울 수 있습니다.
- 근본 원인 및 scope 포함하여 경고 및 인시던트에 대한 추가 정보를 수집합니다.
- 의심스러운 디바이스, 경고 또는 인시던트에 대한 명확성을 확보하고 고급 공격자에 직면하는 경우 다음 단계를 수행합니다.
- 위협 행위자, 캠페인 또는 새로운 공격자 기술과 관련된 위험 및 사용 가능한 보호 결정
Defender 전문가에게 질문하기 위한 필수 권한
다음 Microsoft Entra ID 역할 중 하나를 선택하여 Defender 전문가에게 문의 사항을 보고 제출해야 합니다.
Microsoft Entra ID 역할 | 권한 수준 |
---|---|
전역 읽기 권한자, 보안 읽기 권한자 | 문의 읽기 |
전역 관리, 보안 관리, 보안 운영자 | 문의 읽기 및 제출 |
Microsoft Entra ID 역할이 Microsoft Defender 통합 RBAC 권한에 매핑되는 방법에 대한 자세한 내용은 Microsoft Entra 전역 역할 액세스를 참조하세요.
Defender 전문가에게 문의 기능을 사용하는 Microsoft 위협 전문가 고객은 Microsoft Defender XDR 통합 RBAC에서 다음 권한을 사용할 수도 있습니다.
통합 RBAC 역할 Microsoft Defender XDR | 권한 수준 |
---|---|
보안 데이터 기본 사항 | 읽기 |
경고, 응답 | 읽기 및 제출 |
Defender 전문가에게 문의할 수 있는 위치
Defender 전문가에게 문의하는 옵션은 포털 전체의 여러 위치에서 사용할 수 있습니다.
Defender 전문가의 응답을 볼 수 있는 위치
포털에서
보고서> Defender전문가 메시지로 이동하여 최대 6개월 전부터 Defender 전문가에게 문의하기 위해 제출된 문의에 대한 응답을 볼 수 있습니다. 이 페이지에서 추가 질문을 하거나 Defender 전문가에게 자세한 정보를 입력하여 회신할 수도 있습니다.
전자 메일
문의를 제출할 때 연락처 전자 메일 주소를 포함하면 Defender 전문가의 응답이 게시될 때 메일 알림을 받게 됩니다.
Defender 전문가에게 질문할 수 있는 샘플 질문
경고 정보
- 우리는 살아있는 오프 - 더 - 토지 이진에 대한 경고의 새로운 유형을 보았다. 경고 ID를 제공할 수 있습니다. 이 경고와 인시던트와 관련된 경우, 그리고 더 자세히 조사할 수 있는 방법에 대해 자세히 알려드릴 수 있나요?
- 악의적인 PowerShell 스크립트를 실행하려고 하지만 서로 다른 경고를 생성하는 두 가지 유사한 공격을 관찰했습니다. 하나는 "의심스러운 PowerShell 명령줄"이고 다른 하나는 "Office 365 제공한 표시에 따라 악성 파일이 검색되었습니다."입니다. 차이점은 무엇인가요?
- 높은 프로필 사용자의 디바이스에서 비정상적인 로그인 실패 횟수에 대한 이상한 경고가 오늘 수신되었습니다. 우리는 이러한 시도에 대한 추가 증거를 찾을 수 없습니다. 이러한 시도를 Microsoft Defender XDR 어떻게 볼 수 있나요? 모니터링되는 로그인 유형은 무엇인가요?
- 경고 및 관련 인시던트에 대한 더 많은 컨텍스트 또는 인사이트를 제공할 수 있나요? "시스템 유틸리티에 의한 의심스러운 동작이 관찰되었습니다."?
- "전달/리디렉션 규칙 만들기"라는 제목의 경고를 확인했습니다. 나는 활동이 양성이라고 믿습니다. 경고를 받은 이유를 알려줄 수 있나요?
가능한 디바이스 손상
- organization 여러 디바이스에서 "알 수 없는 프로세스 관찰됨"에 대한 메시지 또는 경고가 표시되는 이유를 설명해 주시겠습니까? 이 메시지 또는 경고가 악의적인 활동 또는 인시던트와 관련이 있는지 여부를 명확히 하기 위한 입력에 감사드립니다.
- 지난 주부터 다음 시스템에서 가능한 손상의 유효성을 검사하는 데 도움을 줄 수 있나요? 6개월 전 동일한 시스템에서 이전 맬웨어 검색과 유사하게 동작합니다.
위협 인텔리전스 세부 정보
- 사용자에게 악의적인 Word 문서를 전달하는 피싱 이메일을 발견했습니다. 이 문서는 일련의 의심스러운 이벤트를 발생시켰고, 이로 인해 특정 맬웨어 패밀리에 대한 여러 경고가 트리거되었습니다. 이 맬웨어에 대한 정보가 있나요? 그렇다면 링크를 보낼 수 있나요?
- 최근에 업계를 대상으로 하는 위협에 대한 블로그 게시물을 보았습니다. 이 위협 행위자에 대해 어떤 보호 Microsoft Defender XDR 제공하는지 이해하는 데 도움을 줄 수 있나요?
- 우리는 최근에 우리의 organization 대해 실시 피싱 캠페인을 관찰했다. 이것이 특히 우리 회사 또는 수직을 대상으로 했는지 알려줄 수 있습니까?
경고 통신 헌팅용 Microsoft Defender 전문가
- 인시던트 대응 팀이 Microsoft가 받은 Defender 전문가 알림을 해결하는 데 도움이 될 수 있나요?
- 헌팅용 Microsoft Defender 전문가 이 Defender 전문가 알림을 받았습니다. 자체 인시던트 대응 팀이 없습니다. 우리는 지금 무엇을 할 수 있고, 어떻게 사건을 포함할 수 있는가?
- 헌팅용 Microsoft Defender 전문가 Defender 전문가 알림을 받았습니다. 인시던트 대응 팀에 전달할 수 있는 데이터는 무엇인가요?
Defender 전문가를 위한 scope 없는 서비스
Defender 전문가에게 질문하기는 Microsoft Defender XDR, 즉 엔드포인트용 Microsoft Defender, Office, Microsoft Defender for Cloud Apps 및 Microsoft Defender 제품에만 초점을 맞추고 있습니다. Microsoft Defender for Identity.
서비스는 다음 시나리오를 다루지 않습니다.
사용자 지정 검색과 관련된 문의 - 위의 제품의 사용자 지정 검색과 관련된 문의는 일반적으로 이러한 원격 분석에 대한 액세스 권한이나 이러한 사용자 지정 정책이 설정된 방법에 대한 가시성이 없기 때문에 Defender 전문가에게 문의에서 처리할 수 없습니다. 이러한 정책의 예는 다음과 같습니다.
- 정책 원본 = 이 있는 경고관습
- 검색 원본 = 사용자 지정 TI
- 경고 제목 = 변칙 표시기
- 위협 패밀리 = 사용자 지정 엔터프라이즈 블록만
비 Microsoft Defender XDR 제품과 관련된 문의 - Defender 전문가는 클라우드용 Microsoft Defender, IoT용 Microsoft Defender 같은 비 Defender XDR 제품에 대한 문의를 처리하지 않습니다Microsoft Sentinel, Microsoft Purview, Microsoft Priva 및 기타 타사 사이버 보안 제품.
버그 관련 문의 - Defender 전문가는 경고 또는 인시던트 페이지의 누락된 데이터 또는 작업을 수행할 때 완료되지 않는 권장 조치와 같이 Defender XDR 포털에서 제품 환경의 버그에 대한 문의를 처리하지 않습니다. 이러한 문제와 관련하여 Services Hub를 통해 Microsoft 지원 연결할 수 있습니다.
보안 인시던트 대응 문제와 관련된 문의 - Defender 전문가에게 문의는 보안 인시던트 대응 서비스가 아닙니다. organization 영향을 주는 복잡한 위협을 더 잘 이해하기 위한 것입니다. 사용자 고유의 보안 인시던트 대응 팀과 Engage 긴급 보안 인시던트 대응 문제를 해결합니다. 고유한 보안 인시던트 대응 팀이 없고 Microsoft의 도움을 받으려면 프리미어 서비스 허브에서 지원 요청을 만듭니다.
다음 단계
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.