Настройка и администрирование возможностей службы «Эксперты Майкрософт по угрозам» Configure and manage Microsoft Threat Experts capabilities
Добро пожаловать в Microsoft Defender для конечной точки— новое имя для Advanced Threat Protection в защитнике Microsoft. Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Ознакомьтесь с дополнительными сведениями об этой и других обновлениях. Read more about this and other updates here. Мы будем обновлять названия в продуктах и в документах в ближайшем будущем. We’ll be updating names in products and in the docs in the near future.
Относится к: Applies to:
Перед началом работы Before you begin
Обсудите требования к приемлемости с помощью службы технической поддержки Майкрософт и учетной записи, прежде чем приступить к работе с управляемой службой для определения угроз. Discuss the eligibility requirements with your Microsoft Technical Service provider and account team before you apply to the managed threat hunting service.
Убедитесь в том, что в вашей среде развернута пакет анализа Microsoft Defender, а не только лабораторная Настройка. Ensure that you have Microsoft Defender ATP deployed in your environment with devices enrolled, and not just on a laboratory set-up.
Пользователи пакета ATP для защитника Майкрософт должны обратиться в службу Microsoft Defender, чтобы получать уведомления об атаках, направленные на использование в целях безопасности, и работать с экспертами по требованию. Microsoft Defender ATP customers need to apply for the Microsoft Threat Experts managed threat hunting service to get proactive Targeted Attack Notifications and to collaborate with experts on demand. Специалистам по запросу является служба надстроек. Experts on Demand is an add-on service. Уведомления о целевых атаках всегда включаются после того, как вы примете участие в службе Microsoft Threat для управления угрозами. Targeted Attack Notifications are always included after you have been accepted into Microsoft Threat Experts managed threat hunting service.
Если вы еще не зарегистрировались и хотите получить доступ к своим преимуществам, перейдите в раздел Параметры, в том числе > General > Дополнительные возможности, > которые будут применятьсяэкспертами по Microsoft Threat . If you are not enrolled yet and would like to experience its benefits, go to Settings > General > Advanced features > Microsoft Threat Experts to apply. После того как вы примете приглашение, вы получите преимущества уведомлений о предустановленной атаке и начните использовать 90-дневную пробную версию экспертов по запросу. Once accepted, you will get the benefits of Targeted Attack Notifications, and start a 90-day trial of Experts on Demand. Обратитесь к своему представителю корпорации Майкрософт, чтобы получить полную подписку на план по запросу. Contact your Microsoft representative to get a full Experts on-Demand subscription.
Регистрация в службе «Поиск угроз», управляемой угрозами Майкрософт Register to Microsoft Threat Experts managed threat hunting service
Если вы уже являетесь клиентом Microsoft Defender ATP, вы можете применить его с помощью портала Microsoft Defender ATP. If you’re already a Microsoft Defender ATP customer, you can apply through the Microsoft Defender ATP portal.
В области навигации перейдите в раздел параметры > общие > дополнительные возможности > Microsoft Threat эксперты. From the navigation pane, go to Settings > General > Advanced features > Microsoft Threat Experts.
Нажмите кнопку Применить. Click Apply.
Введите свое имя и адрес электронной почты, чтобы Майкрософт мог вернуться к вам в вашем приложении. Enter your name and email address so that Microsoft can get back to you on your application.
Прочтите заявление о конфиденциальности, а затем нажмите кнопку Отправить , когда все будет готово. Read the privacy statement, then click Submit when you’re done. После того как приложение утверждено, вы получите приветственное сообщение электронной почты. You will receive a welcome email once your application is approved.
В области навигации перейдите в раздел » Параметры > » навкладке > Advanced features «Общие», чтобы включить экспертов для угроз . From the navigation pane, go to Settings > General > Advanced features to turn the Threat Experts toggle on. Нажмите кнопку Сохранить настройки. Click Save preferences.
Получение уведомления о назначенной атаке от экспертов по Microsoft Threat Receive targeted attack notification from Microsoft Threat Experts
Вы можете получать уведомления об атаках от экспертов Майкрософт по угрозам на следующем носителе: You can receive targeted attack notification from Microsoft Threat Experts through the following medium:
- Панель мониторинга оповещений на портале ATP для Microsoft Defender The Microsoft Defender ATP portal’s Alerts dashboard
- Сообщение электронной почты, если вы решили настроить его Your email, if you choose to configure it
Чтобы получать уведомления о назначенных атаках по электронной почте, создайте правило для уведомлений по электронной почте. To receive targeted attack notifications through email, create an email notification rule.
Создание правила для уведомлений по электронной почте Create an email notification rule
Вы можете создавать правила для отправки уведомлений по электронной почте получателям уведомлений. You can create rules to send email notifications for notification recipients. Подробные сведения о том, как создавать, изменять, удалять и устранять неполадки с помощью уведомлений по электронной почте, приведены в статье Настройка уведомлений . See Configure alert notifications to create, edit, delete, or troubleshoot email notification, for details.
Просмотр уведомления о конечной атаке View the targeted attack notification
После того как вы настроили систему на получение уведомлений по электронной почте, вы начнете получать уведомления от экспертов по Microsoft Threat. You’ll start receiving targeted attack notification from Microsoft Threat Experts in your email after you have configured your system to receive email notification.
Щелкните ссылку в сообщении электронной почты, чтобы перейти к соответствующему контексту оповещения на панели мониторинга, помеченной с экспертами по угрозе. Click the link in the email to go to the corresponding alert context in the dashboard tagged with Threat experts.
На панели мониторинга выберите ту же тему оповещения, которая была получена из сообщения электронной почты, и просмотрите сведения. From the dashboard, select the same alert topic that you got from the email, to view the details.
Узнайте о подозрительных действиях CyberSecurity в вашей организации в эксперте по угрозе Майкрософт Consult a Microsoft threat expert about suspicious cybersecurity activities in your organization
Вы можете создавать партнеров с экспертами Майкрософт, которые могут быть вовлечены непосредственно в центр безопасности защитника Майкрософт для своевременного и точного ответа. You can partner with Microsoft Threat Experts who can be engaged directly from within the Microsoft Defender Security Center for timely and accurate response. Эксперты предоставляют наглядные сведения, которые помогут вам лучше понять сложные угрозы, уведомления о предустановленных атаках, а также узнать, есть ли у вас более подробная информация об оповещениях, потенциально скомпрометированном устройстве или контексте наблюдения за угрозами. Experts provide insights to better understand complex threats, targeted attack notifications that you get, or if you need more information about the alerts, a potentially compromised device, or a threat intelligence context that you see on your portal dashboard.
- Запросы на оповещения, связанные с настроенными данными логики операций с угрозами в вашей организации, в настоящее время не поддерживаются. Alert inquiries related to your organization’s customized threat intelligence data are currently not supported. Дополнительные сведения можно найти в справке по обеспечению безопасности или реагированию на инциденты. Consult your security operations or incident response team for details.
- Вы должны иметь разрешение «Управление параметрами безопасности» на портале центра обеспечения безопасности, чтобы можно было отправить запрос «обратитесь в эксперт по угрозам». You will need to have the «Manage security settings» permission in the Security Center portal to be able to submit a «Consult a threat expert» inquiry.
Перейдите на страницу портала с помощью необходимой информации, которую вы хотели бы исследовать, например на странице » инцидент «. Navigate to the portal page with the relevant information that you’d like to investigate, for example, the Incident page. Перед отправкой запроса на исследование убедитесь в том, что страница для нужного оповещения или устройства находится в представлении. Ensure that the page for the relevant alert or device is in view before you send an investigation request.
В правом верхнем меню выберите команду ?. From the upper right-hand menu, click the ? . icon. Затем выберите пункт обратиться к эксперту по угрозам. Then, select Consult a threat expert.
Откроется всплывающий экран. A flyout screen opens. На приведенном ниже экране показано, когда вы используете пробную подписку. The following screen shows when you are on a trial subscription.
На приведенном ниже экране показано, когда вы используете полную подписку на Microsoft по запросу экспертов по угрозам Майкрософт. The following screen shows when you are on a full Microsoft Threat Experts — Experts on-Demand subscription.
Поле » Тема запроса » предварительно заполнено ссылкой на нужную страницу вашего запроса на исследование. The Inquiry topic field is pre-populated with the link to the relevant page for your investigation request. Например, ссылка на страницу сведений о происшествии, оповещении или сведения о устройстве, в которой вы находились при выполнении запроса. For example, a link to the incident, alert, or device details page that you were at when you made the request.
В следующем поле введите достаточно сведений, чтобы предоставить экспертам Microsoft угрозу для начала расследования. In the next field, provide enough information to give the Microsoft Threat Experts enough context to start the investigation.
Введите адрес электронной почты, который вы хотите использовать для общения с экспертами Майкрософт по угрозам. Enter the email address that you’d like to use to correspond with Microsoft Threat Experts.
Пользователи с подпиской на Office 365, сопоставленными с лицензией Premier Support, могут отслеживать состояние своих экспертов по запросу в Microsoft Services Hub. Customers with Premier Support subscription mapped to their Office 365 license can track the status of their Experts on Demand cases through Microsoft Services Hub.
Просмотрите это видео, чтобы получить краткий обзор центра служб Майкрософт. Watch this video for a quick overview of the Microsoft Services Hub.
Примерные темы для исследования, которые можно обратиться к экспертам по угрозам Майкрософт Sample investigation topics that you can consult with Microsoft Threat Experts
Сведения о предупреждении Alert information
- Мы видим новый тип оповещений для незавершенного двоичного файла: [AlertID]. We see a new type of alert for a living-off-the-land binary: [AlertID]. Вы можете сообщить нам больше об этом оповещении и о том, как его исследовать дальше? Can you tell us something more about this alert and how we can investigate further?
- Мы наблюдали две аналогичные атаки, которые пытаются выполнить вредоносные сценарии PowerShell, но создают различные оповещения. We’ve observed two similar attacks, which try to execute malicious PowerShell scripts but generate different alerts. Одна из них — это подозрительная Командная строка PowerShell, а другая — обнаруженный злоумышленником файл на основе указания, предоставленной O365. One is «Suspicious PowerShell command line» and the other is «A malicious file was detected based on indication provided by O365». В чем разница? What is the difference?
- На сегодняшний день я получаю нерегулярное оповещение о неизвестном количестве неудачных попыток входа с устройства с высокой степенью профиля. I receive an odd alert today for abnormal number of failed logins from a high profile user’s device. Я не могу найти никаких других доказательств для этих попыток входа. I cannot find any further evidence around these sign-in attempts. Как служба Microsoft Defender ATP может видеть эти попытки? How can Microsoft Defender ATP see these attempts? Какие типы входов отслеживаются? What type of sign-ins are being monitored?
- Вы можете предоставить более подробные сведения об этом оповещении: «подозрительное поведение для системных служебных программ». Can you give more context or insights about this alert: “Suspicious behavior by a system utility was observed”.
Возможный скомпрометированный компьютер Possible machine compromise
- Можете ли вы ответить на вопрос о том, почему не удается найти «Неизвестный процесс»? Can you help answer why we see “Unknown process observed?” Это сообщение или оповещение часто встречается на многих устройствах. This message or alert is seen frequently on many devices. Мы ценим любые входные данные, чтобы уточнить, связаны ли это сообщение или оповещение с вредоносными действиями. We appreciate any input to clarify whether this message or alert is related to malicious activity.
- Вы можете помочь вам проверить возможную угрозу в следующей системе на [DATE] с похожими характеристиками, описанными в разделе [Month] предыдущей версии [Имя вредоносной программы] для обнаружения вредоносных программ. Can you help validate a possible compromise on the following system on [date] with similar behaviors as the previous [malware name] malware detection on the same system in [month]?
Сведения о угрозе Threat intelligence details
- Обнаружено мошенническое сообщение электронной почты, которое отправляет пользователю вредоносный документ Word. We detected a phishing email that delivered a malicious Word document to a user. Вредоносный документ Word вызвал ряд подозрительных событий, которые привели к возникновению нескольких предупреждений защитника Майкрософт для вредоносных программ [имя вредоносных программ]. The malicious Word document caused a series of suspicious events, which triggered multiple Microsoft Defender alerts for [malware name] malware. У вас есть информация об этой вредоносной программе? Do you have any information on this malware? Если да, можно ли отправить мне ссылку? If yes, can you send me a link?
- Недавно я видел [ссылку на социальные сети (например, Twitter или Blog]) опубликовать о угрозе, предназначенной для моей отрасли. I recently saw a [social media reference, for example, Twitter or blog] post about a threat that is targeting my industry. Как узнать, какая защита предоставляется Microsoft Defender ATP для этого субъекта угрозы? Can you help me understand what protection Microsoft Defender ATP provides against this threat actor?
Связь с оповещениями экспертов Microsoft Threat Microsoft Threat Experts’ alert communications
Может ли ваша группа реагирования на инциденты помочь нам получить уведомление о назначенной атаке? Can your incident response team help us address the targeted attack notification that we got?
Я получил данное уведомление о атаках от экспертов по Microsoft Threat. I received this targeted attack notification from Microsoft Threat Experts. У нас нет собственной команды реагирования на инциденты. We don’t have our own incident response team. Что можно делать сейчас и как можно добавить инцидент? What can we do now, and how can we contain the incident?
Получено уведомление о том, что у экспертов по Microsoft Threat есть целевая атака. I received a targeted attack notification from Microsoft Threat Experts. Какие данные вы можете предоставить нам, что мы можем передать в группу реагирования на инцидент? What data can you provide to us that we can pass on to our incident response team?
Microsoft Threat эксперты — это управляемая служба CyberSecurity, а не служба реагирования на инциденты. Microsoft Threat Experts is a managed cybersecurity hunting service and not an incident response service. Тем не менее, если потребуется, эксперты могут без проблем переходить в Microsoft CyberSecurity Solutions Group (CSG) и службу ответов (DART). However, the experts can seamlessly transition the investigation to Microsoft Cybersecurity Solutions Group (CSG)’s Detection and Response Team (DART) services, when necessary. Вы также можете присоединиться к собственной команде реагирования на инциденты для устранения проблем, требующих ответа на инциденты. You can also opt to engage with your own incident response team to address issues that requires an incident response.
Сценарий Scenario
Получение отчета о состоянии управляемого запроса на поиск Receive a progress report about your managed hunting inquiry
Ответ экспертов по угрозам Майкрософт зависит от вашего запроса. Response from Microsoft Threat Experts varies according to your inquiry. В течение двух дней пользователи смогут отправить вам отчет о ходе выполнения, чтобы сообщить о состоянии расследований по следующим категориям: They will email a progress report to you about your Consult a threat expert inquiry within two days, to communicate the investigation status from the following categories:
- Для дальнейшего исследования требуется дополнительная информация More information is needed to continue with the investigation
- Для определения технического контекста требуются файл или несколько примеров файла. A file or several file samples are needed to determine the technical context
- Для исследования требуется больше времени Investigation requires more time
- Начальная информация достаточно для того, чтобы завершить исследование Initial information was enough to conclude the investigation
Очень важно, чтобы вы быстро ответили на то, что исследование не будет продвигаться. It is crucial to respond in quickly to keep the investigation moving.