Beheben von Problemen mit dem Microsoft Defender XDR-Dienst
Artikel
Gilt für::
Microsoft Defender XDR
In diesem Artikel werden Probleme behandelt, die bei der Verwendung des Microsoft Defender XDR-Diensts auftreten können. Es bietet Lösungen und Problemumgehungen, mit denen Sie diese Probleme beheben können. Wenn ein Problem auftritt, das hier nicht behoben wird, wenden Sie sich an Microsoft-Support.
Ich sehe Microsoft Defender XDR Inhalt nicht
Wenn im Navigationsbereich keine Funktionen wie Incidents, Info-Center oder Hunting in Ihrem Portal angezeigt werden, müssen Sie überprüfen, ob Ihr Mandant über die entsprechenden Lizenzen verfügt.
Microsoft Defender for Identity Warnungen werden in den Microsoft Defender XDR Incidents nicht angezeigt.
Wenn Sie Microsoft Defender for Identity in Ihrer Umgebung bereitgestellt haben, aber keine Defender for Identity-Warnungen als Teil Microsoft Defender XDR Incidents sehen, müssen Sie sicherstellen, dass die Microsoft Defender for Cloud Apps und die Integration von Defender for Identity ist aktiviert.
Um Microsoft Defender XDR zu aktivieren, greifen Sie im Microsoft Defender Portal im Navigationsbereich auf Einstellungen zu. Dieses Navigationselement ist nur sichtbar, wenn Sie über die erforderlichen Berechtigungen und Lizenzen verfügen.
Gewusst wie eine Ausnahme für meine Datei/URL erstellen?
Ein falsch positives Ergebnis ist eine Datei oder URL, die als bösartig erkannt wird, aber keine Bedrohung darstellt. Sie können Indikatoren erstellen und Ausschlüsse definieren, um die Blockierung zu aufheben und bestimmte Dateien/URLs zuzulassen. Weitere Informationen finden Sie unter Beheben falsch positiver/negativer Ergebnisse in Defender für Endpunkt.
Wie kann ich ServiceNow-Tickets in das Microsoft Defender-Portal integrieren?
Der Microsoft Defender XDR-ServiceNow-Connector ist im Microsoft Defender-Portal nicht mehr verfügbar. Sie können jedoch weiterhin Microsoft Defender XDR mit ServiceNow integrieren, indem Sie die Microsoft Security Graph-API verwenden. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.
Die Microsoft Defender XDR-ServiceNow-Integration war zuvor im Microsoft Defender-Portal für Vorschau und Feedback verfügbar. Diese Integration ermöglichte es Ihnen, ServiceNow-Vorfälle aus Microsoft Defender XDR Incidents zu erstellen.
Warum kann ich keine Dateien übermitteln?
In einigen Fällen kann ein Administratorblock zu Übermittlungsproblemen führen, wenn Sie versuchen, eine potenziell infizierte Datei zur Analyse an die Microsoft Security Intelligence-Website zu übermitteln. Der folgende Prozess zeigt, wie Sie dieses Problem beheben.
Ihre Einstellungen überprüfen
Öffnen Sie ihre Azure Enterprise-Anwendungseinstellungen. Überprüfen Sie unter Unternehmensanwendungen>Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen, ob Ja oder Nein ausgewählt ist.
Wenn Nein ausgewählt ist, muss ein Microsoft Entra Administrator für den Kundenmandanten die Zustimmung für die organization geben. Abhängig von der Konfiguration mit Microsoft Entra ID können Benutzer eine Anforderung möglicherweise direkt über dasselbe Dialogfeld senden. Wenn keine Option zum Anfordern der Administratoreinwilligung verfügbar ist, müssen Benutzer anfordern, dass diese Berechtigungen ihrem Microsoft Entra Administrator hinzugefügt werden. Weitere Informationen findest du im folgenden Abschnitt.
Wenn Ja ausgewählt ist, stellen Sie sicher, dass die Windows Defender Security Intelligence-App-Einstellung Für die Benutzeranmeldung aktiviert?in Azure auf Ja festgelegt ist. Wenn Nein ausgewählt ist, müssen Sie einen Microsoft Entra Administrator anfordern.
Implementieren der erforderlichen Unternehmensanwendungsberechtigungen
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Dieser Prozess erfordert einen globalen Administrator oder Anwendungsadministrator im Mandanten.
Wählen Sie Administratoreinwilligung für organization erteilen aus.
Wenn Sie dazu in der Lage sind, überprüfen Sie die api-Berechtigungen, die für diese Anwendung erforderlich sind, wie in der folgenden Abbildung gezeigt. Geben Sie die Zustimmung für den Mandanten ein.
Wenn der Administrator beim Versuch, die Zustimmung manuell einzuholen, einen Fehler erhält, versuchen Sie entweder Option 1 oder Option 2 als mögliche Problemumgehungen.
Option 1: Genehmigen von Unternehmensanwendungsberechtigungen per Benutzeranforderung
Microsoft Entra Administratoren müssen benutzern erlauben, die Administratoreinwilligung für Apps anzufordern. Vergewissern Sie sich, dass die Einstellung in Unternehmensanwendungen auf Ja konfiguriert ist.
Nachdem diese Einstellung überprüft wurde, können Benutzer die Anmeldung des Unternehmenskunden bei Microsoft Security Intelligence durchlaufen und eine Anforderung zur Administratoreinwilligung einschließlich Begründung übermitteln.
Nach der Einwilligung können alle Benutzer im Mandanten die Anwendung verwenden.
Option 2: Erteilen der Administratoreinwilligung durch Authentifizieren der Anwendung als Administrator
Dieser Prozess erfordert, dass globale Administratoren den Anmeldeflow für Unternehmenskunden bei Microsoft Security Intelligence durchlaufen.
Anschließend überprüfen Administratoren die Berechtigungen und stellen sicher, dass Sie Zustimmung im Namen Ihrer organization und dann Annehmen auswählen.
Alle Benutzer im Mandanten können diese Anwendung jetzt verwenden.
Option 3: Löschen und Lesen von App-Berechtigungen
Wenn das Problem durch keine dieser Optionen behoben wird, führen Sie die folgenden Schritte (als Administrator) aus:
Entfernen Sie vorherige Konfigurationen für die Anwendung. Wechseln Sie zu Unternehmensanwendungen, und wählen Sie Löschen aus.
Ersetzen Sie durch {tenant-id} den spezifischen Mandanten, der dieser Anwendung die Zustimmung in der url unten erteilen muss. Kopieren Sie die folgende URL in den Browser: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Die restlichen Parameter sind bereits abgeschlossen.
Überprüfen Sie die für die Anwendung erforderlichen Berechtigungen, und wählen Sie dann Akzeptieren aus.
Vergewissern Sie sich, dass die Berechtigungen im Azure-Portal angewendet werden.
Melden Sie sich bei Microsoft Security Intelligence als Unternehmensbenutzer mit einem Nicht-Administratorkonto an, um zu überprüfen, ob Sie Zugriff haben.
Wenn die Warnung nach der Ausführung dieser Schritte zur Problembehandlung nicht behoben wird, wenden Sie sich an den Microsoft-Support.
Um diesen Microsoft Applied Skills-Leistungsnachweis zu erwerben, müssen Lernende die Fähigkeit demonstrieren, Microsoft Defender XDR zum Erkennen von und Reagieren auf Cyberbedrohungen zu verwenden. Kandidaten für diesen Leistungsnachweis sollten mit dem Untersuchen und Sammeln von Nachweisen über Angriffe auf Endpunkte vertraut sein. Sie sollten auch Erfahrung mit der Verwendung von Microsoft Defender for Endpoint und KQL (Kusto-Abfragesprache) haben.