Partilhar via


Colaborar com especialistas a pedido

Aplica-se a:

Nota

Pergunte aos Especialistas do Defender que está incluído na sua subscrição Especialistas do Defender para Procura com alocações trimestrais.

Selecione Perguntar aos Especialistas do Defender diretamente no portal de segurança do Microsoft 365 para obter respostas rápidas e precisas a todas as suas perguntas de investigação de ameaças. Os especialistas podem fornecer informações para compreender melhor as ameaças complexas que a sua organização pode enfrentar. Pergunte aos Especialistas do Defender que podem ajudar:

  • Recolher informações adicionais sobre alertas e incidentes, incluindo as causas e o âmbito
  • Obtenha clareza sobre dispositivos, alertas ou incidentes suspeitos e siga os passos seguintes se for confrontado com um atacante avançado
  • Determinar riscos e proteções disponíveis relacionadas com atores de ameaças, campanhas ou técnicas de atacantes emergentes

Captura de ecrã a mostrar a caixa de diálogo Perguntar aos Especialistas do Defender.

Permissões necessárias para utilizar o Ask Defender Experts

Tem de selecionar uma das seguintes funções Microsoft Entra ID para ver e submeter inquéritos aos nossos especialistas do Defender.

Microsoft Entra ID função Nível de permissão
Leitor Global, Leitor de Segurança Ler inquéritos
Global Administração, Security Administração, Security Operator Ler e submeter inquéritos

Para saber mais sobre como Microsoft Entra ID funções são mapeadas para Microsoft Defender permissões RBAC unificadas, veja Microsoft Entra Acesso a funções globais.

Grupo de Peritos em Ameaças da Microsoft clientes que utilizam a capacidade Pergunte aos Especialistas do Defender também poderão utilizar as seguintes permissões do Microsoft Defender XDR RBAC Unificado.

Microsoft Defender XDR função RBAC unificada Nível de permissão
Noções básicas sobre dados de segurança Ler
Alertas, Resposta Ler e submeter

Onde submeter inquéritos a Pergunte aos Especialistas do Defender

A opção para Perguntar aos Especialistas do Defender está disponível em vários locais do portal:

  • Menu de ações da página do dispositivo:

    Captura de ecrã a mostrar a opção de menu Perguntar aos Especialistas do Defender no menu de ação Página do dispositivo no portal do Microsoft Defender.

  • Menu de lista de opções da página de inventário de dispositivos:

    Captura de ecrã a mostrar a opção de menu Perguntar aos Especialistas do Defender no menu de lista de opções Página de inventário de dispositivos no portal do Microsoft Defender.

  • Menu de lista de opções da página de alertas:

    Captura de ecrã a mostrar a opção de menu Perguntar aos Especialistas do Defender no menu de lista de opções da página Alertas no portal do Microsoft Defender.

  • Menu de ações da página incidentes:

    Captura de ecrã a mostrar a opção de menu Perguntar aos Especialistas do Defender no menu Ações da página Incidentes no portal do Microsoft Defender.

Onde ver respostas de Especialistas do Defender

No portal

Pode ver as respostas a inquéritos submetidos a Pergunte aos Especialistas do Defender de até seis meses atrás ao navegar para mensagens de Relatórios>de Especialistas do Defender. Também pode fazer perguntas de seguimento ou responder com mais informações aos Especialistas do Defender a partir desta página.

Captura de ecrã da resposta gerida no portal.

E-mail

Se incluiu endereços de e-mail de contacto ao submeter a sua consulta, estes receberão uma notificação por e-mail quando for publicada uma resposta dos Especialistas do Defender.

Captura de ecrã a mostrar a resposta gerida baseada no e-mail.

Perguntas de exemplo que pode fazer a partir de Especialistas do Defender

Informações do alerta

  • Vimos um novo tipo de alerta para um binário que vive fora da terra. Podemos fornecer o ID do alerta. Pode dizer-nos mais sobre este alerta e se está relacionado com qualquer incidente e como podemos investigá-lo mais aprofundadamente?
  • Observámos dois ataques semelhantes, que tentam executar scripts maliciosos do PowerShell, mas geram alertas diferentes. Uma é "Linha de comandos suspeita do PowerShell" e a outra é "Foi detetado um ficheiro malicioso com base na indicação fornecida pelo Office 365". Qual é a diferença?
  • Recebemos hoje um alerta estranho sobre um número anormal de inícios de sessão falhados a partir do dispositivo de um utilizador de alto perfil. Não conseguimos encontrar mais provas para estas tentativas. Como pode Microsoft Defender XDR ver estas tentativas? Que tipo de inícios de sessão estão a ser monitorizados?
  • Pode dar mais contexto ou informações sobre o alerta e quaisquer incidentes relacionados, "Foi observado um comportamento suspeito por um utilitário do sistema"?
  • Observei um alerta intitulado "Criação de regra de reencaminhamento/redirecionamento". Acredito que a actividade é benigna. Pode dizer-me por que recebi um alerta?

Possível comprometimento do dispositivo

  • Pode ajudar a explicar porque é que vemos uma mensagem ou alerta para "Processo desconhecido observado" em muitos dispositivos na nossa organização? Agradecemos qualquer contributo para esclarecer se esta mensagem ou alerta está relacionado com atividades maliciosas ou incidentes.
  • Pode ajudar a validar um possível compromisso no seguinte sistema, datado da semana passada? Está a comportar-se da mesma forma que uma deteção de software maligno anterior no mesmo sistema há seis meses.

Detalhes das informações sobre ameaças

  • Detetámos um e-mail de phishing que entregou um documento de Word malicioso a um utilizador. O documento causou uma série de eventos suspeitos, que acionaram vários alertas para uma determinada família de software maligno. Tem alguma informação sobre este software maligno? Se sim, pode enviar-nos uma ligação?
  • Vimos recentemente uma publicação de blogue sobre uma ameaça que visa a nossa indústria. Pode ajudar-nos a compreender que proteção Microsoft Defender XDR fornece contra este ator de ameaças?
  • Observámos recentemente uma campanha de phishing realizada contra a nossa organização. Pode dizer-nos se foi direcionado especificamente para a nossa empresa ou vertical?

comunicações de alerta de Especialistas do Microsoft Defender para Procura

  • A sua equipa de resposta a incidentes pode ajudar-nos a resolver a Notificação de Especialistas em Defender que recebemos?
  • Recebemos esta Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Procura. Não temos a nossa própria equipa de resposta a incidentes. O que podemos fazer agora e como podemos conter o incidente?
  • Recebemos uma Notificação de Especialistas do Defender de Especialistas do Microsoft Defender para Procura. Que dados nos pode fornecer que podemos transmitir à nossa equipa de resposta a incidentes?

Serviços que não estão no âmbito dos Especialistas do Defender

Pergunte aos Especialistas do Defender está focado em produtos que só estão incluídos no Microsoft Defender XDR, ou seja, Microsoft Defender para Endpoint, Microsoft Defender para o Office, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade.

O serviço não abrange os seguintes cenários:

  • Inquéritos relacionados com deteções personalizadas – as consultas relacionadas com deteções personalizadas nos produtos acima não podem ser tratadas em Pergunte aos Especialistas do Defender porque os nossos especialistas normalmente não têm acesso a essa telemetria ou visibilidade sobre como estas políticas personalizadas foram configuradas. Exemplos de tais políticas incluem:

    • Alertas com origem de = políticaPersonalizado
    • Origem de = deteçãoTI Personalizado
    • Título do alerta = Indicador de Anomalias
    • Família de ameaças = Apenas Bloco Empresarial Personalizado
  • Inquéritos relacionados com produtos não Microsoft Defender XDR – Os Especialistas em Defender não processam inquéritos sobre produtos não Defender XDR, como Microsoft Defender para a Cloud, Microsoft Defender para IoT, Microsoft Sentinel, Microsoft Purview, Microsoft Priva e outros produtos de cibersegurança de terceiros.

  • Perguntas relacionadas com erros – os Especialistas do Defender não processam inquéritos sobre erros na experiência do produto no portal do Defender XDR, como dados em falta na página de alertas ou incidentes ou uma ação recomendada que não é concluída quando o aciona. Pode contactar o Suporte da Microsoft através do Hub de Serviços relativamente a tais problemas.

  • Perguntas relacionadas com problemas de resposta a incidentes de segurança – Pergunte aos Especialistas do Defender que não é um serviço de resposta a incidentes de segurança. Destina-se a fornecer uma melhor compreensão das ameaças complexas que afetam a sua organização. Engage com a sua própria equipa de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se não tiver a sua própria equipa de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie um pedido de suporte no Hub de Serviços Premier.

Passo seguinte

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.