Auf Englisch lesen

Freigeben über


Beheben von Problemen mit dem Microsoft Defender XDR-Dienst

In diesem Artikel werden Probleme behandelt, die bei der Verwendung des Microsoft Defender XDR-Diensts auftreten können. Es bietet Lösungen und Problemumgehungen, mit denen Sie diese Probleme beheben können. Wenn ein Problem auftritt, das hier nicht behoben wird, wenden Sie sich an Microsoft-Support.

Ich sehe Microsoft Defender XDR Inhalt nicht

Wenn im Navigationsbereich keine Funktionen wie Incidents, Info-Center oder Hunting in Ihrem Portal angezeigt werden, müssen Sie überprüfen, ob Ihr Mandant über die entsprechenden Lizenzen verfügt.

Weitere Informationen finden Sie unter Voraussetzungen.

Microsoft Defender for Identity Warnungen werden in den Microsoft Defender XDR Incidents nicht angezeigt.

Wenn Sie Microsoft Defender for Identity in Ihrer Umgebung bereitgestellt haben, aber keine Defender for Identity-Warnungen als Teil Microsoft Defender XDR Incidents sehen, müssen Sie sicherstellen, dass die Microsoft Defender for Cloud Apps und die Integration von Defender for Identity ist aktiviert.

Weitere Informationen finden Sie unter Microsoft Defender for Identity Integration.

Gewusst wie Microsoft Defender XDR aktivieren??

Um Microsoft Defender XDR zu aktivieren, greifen Sie im Microsoft Defender Portal im Navigationsbereich auf Einstellungen zu. Dieses Navigationselement ist nur sichtbar, wenn Sie über die erforderlichen Berechtigungen und Lizenzen verfügen.

Gewusst wie eine Ausnahme für meine Datei/URL erstellen?

Ein falsch positives Ergebnis ist eine Datei oder URL, die als bösartig erkannt wird, aber keine Bedrohung darstellt. Sie können Indikatoren erstellen und Ausschlüsse definieren, um die Blockierung zu aufheben und bestimmte Dateien/URLs zuzulassen. Weitere Informationen finden Sie unter Beheben falsch positiver/negativer Ergebnisse in Defender für Endpunkt.

Wie kann ich ServiceNow-Tickets in das Microsoft Defender-Portal integrieren?

Der Microsoft Defender XDR-ServiceNow-Connector ist im Microsoft Defender-Portal nicht mehr verfügbar. Sie können jedoch weiterhin Microsoft Defender XDR mit ServiceNow integrieren, indem Sie die Microsoft Security Graph-API verwenden. Weitere Informationen finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API.

Die Microsoft Defender XDR-ServiceNow-Integration war zuvor im Microsoft Defender-Portal für Vorschau und Feedback verfügbar. Diese Integration ermöglichte es Ihnen, ServiceNow-Vorfälle aus Microsoft Defender XDR Incidents zu erstellen.

Warum kann ich keine Dateien übermitteln?

In einigen Fällen kann ein Administratorblock zu Übermittlungsproblemen führen, wenn Sie versuchen, eine potenziell infizierte Datei zur Analyse an die Microsoft Security Intelligence-Website zu übermitteln. Der folgende Prozess zeigt, wie Sie dieses Problem beheben.

Ihre Einstellungen überprüfen

Öffnen Sie ihre Azure Enterprise-Anwendungseinstellungen. Überprüfen Sie unter Unternehmensanwendungen>Benutzer können Apps zustimmen, die in ihrem Namen auf Unternehmensdaten zugreifen, ob Ja oder Nein ausgewählt ist.

  • Wenn Nein ausgewählt ist, muss ein Microsoft Entra Administrator für den Kundenmandanten die Zustimmung für die organization geben. Abhängig von der Konfiguration mit Microsoft Entra ID können Benutzer eine Anforderung möglicherweise direkt über dasselbe Dialogfeld senden. Wenn keine Option zum Anfordern der Administratoreinwilligung verfügbar ist, müssen Benutzer anfordern, dass diese Berechtigungen ihrem Microsoft Entra Administrator hinzugefügt werden. Weitere Informationen findest du im folgenden Abschnitt.

  • Wenn Ja ausgewählt ist, stellen Sie sicher, dass die Windows Defender Security Intelligence-App-Einstellung Für die Benutzeranmeldung aktiviert?in Azure auf Ja festgelegt ist. Wenn Nein ausgewählt ist, müssen Sie einen Microsoft Entra Administrator anfordern.

Implementieren der erforderlichen Unternehmensanwendungsberechtigungen

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Dieser Prozess erfordert einen globalen Administrator oder Anwendungsadministrator im Mandanten.

  1. Öffnen Sie die Einstellungen der Unternehmensanwendung.

  2. Wählen Sie Administratoreinwilligung für organization erteilen aus.

  3. Wenn Sie dazu in der Lage sind, überprüfen Sie die api-Berechtigungen, die für diese Anwendung erforderlich sind, wie in der folgenden Abbildung gezeigt. Geben Sie die Zustimmung für den Mandanten ein.

    Abbildung zum Erteilen der Zustimmung.

  4. Wenn der Administrator beim Versuch, die Zustimmung manuell einzuholen, einen Fehler erhält, versuchen Sie entweder Option 1 oder Option 2 als mögliche Problemumgehungen.

Option 1: Genehmigen von Unternehmensanwendungsberechtigungen per Benutzeranforderung

Microsoft Entra Administratoren müssen benutzern erlauben, die Administratoreinwilligung für Apps anzufordern. Vergewissern Sie sich, dass die Einstellung in Unternehmensanwendungen auf Ja konfiguriert ist.

Benutzereinstellungen für Unternehmensanwendungen.

Weitere Informationen finden Sie unter Konfigurieren Admin Zustimmungsworkflows.

Nachdem diese Einstellung überprüft wurde, können Benutzer die Anmeldung des Unternehmenskunden bei Microsoft Security Intelligence durchlaufen und eine Anforderung zur Administratoreinwilligung einschließlich Begründung übermitteln.

Contoso-Anmeldeflow.

Administratoren können die Anwendungsberechtigungen für Azure-Administratoreinwilligungsanforderungen überprüfen und genehmigen.

Nach der Einwilligung können alle Benutzer im Mandanten die Anwendung verwenden.

Dieser Prozess erfordert, dass globale Administratoren den Anmeldeflow für Unternehmenskunden bei Microsoft Security Intelligence durchlaufen.

Zustimmungs-Anmeldeflow.

Anschließend überprüfen Administratoren die Berechtigungen und stellen sicher, dass Sie Zustimmung im Namen Ihrer organization und dann Annehmen auswählen.

Alle Benutzer im Mandanten können diese Anwendung jetzt verwenden.

Option 3: Löschen und Lesen von App-Berechtigungen

Wenn das Problem durch keine dieser Optionen behoben wird, führen Sie die folgenden Schritte (als Administrator) aus:

  1. Entfernen Sie vorherige Konfigurationen für die Anwendung. Wechseln Sie zu Unternehmensanwendungen, und wählen Sie Löschen aus.

    App-Berechtigungen löschen.

  2. Erfassen TenantID aus Eigenschaften.

  3. Ersetzen Sie durch {tenant-id} den spezifischen Mandanten, der dieser Anwendung die Zustimmung in der url unten erteilen muss. Kopieren Sie die folgende URL in den Browser: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Die restlichen Parameter sind bereits abgeschlossen.

    Erforderliche Berechtigungen.

  4. Überprüfen Sie die für die Anwendung erforderlichen Berechtigungen, und wählen Sie dann Akzeptieren aus.

  5. Vergewissern Sie sich, dass die Berechtigungen im Azure-Portal angewendet werden.

    Überprüfen Sie, dass Berechtigungen angewendet werden.

  6. Melden Sie sich bei Microsoft Security Intelligence als Unternehmensbenutzer mit einem Nicht-Administratorkonto an, um zu überprüfen, ob Sie Zugriff haben.

Wenn die Warnung nach der Ausführung dieser Schritte zur Problembehandlung nicht behoben wird, wenden Sie sich an den Microsoft-Support.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.