Solución de problemas del servicio de Microsoft Defender XDR
Artículo
Se aplica a:
Microsoft Defender XDR
En este artículo se abordan los problemas que pueden surgir al usar el servicio de Microsoft Defender XDR. Proporciona soluciones y soluciones alternativas para ayudarle a resolver estos problemas. Si encuentra un problema que no se soluciona aquí, póngase en contacto con Soporte técnico de Microsoft.
No veo Microsoft Defender XDR contenido
Si no ve funcionalidades en el panel de navegación, como incidentes, centro de acciones o búsqueda en el portal, debe comprobar que el inquilino tiene las licencias adecuadas.
Microsoft Defender for Identity alertas no se muestran en los incidentes de Microsoft Defender XDR
Si Microsoft Defender for Identity ha implementado en su entorno pero no ve alertas de Defender for Identity como parte de Microsoft Defender XDR incidentes, debe asegurarse de que el Microsoft Defender for Cloud Apps y la integración de Defender for Identity está habilitada.
Para activar Microsoft Defender XDR, acceda a Configuración desde el panel de navegación del portal de Microsoft Defender. Este elemento de navegación solo está visible si tiene los permisos y licencias de requisitos previos.
Cómo crear una excepción para mi archivo o dirección URL?
Un falso positivo es un archivo o dirección URL que se detecta como malintencionado, pero no es una amenaza. Puede crear indicadores y definir exclusiones para desbloquear y permitir determinados archivos o direcciones URL. Consulte Dirección de falsos positivos o negativos en Defender para punto de conexión.
¿Cómo puedo integrar vales de ServiceNow en el portal de Microsoft Defender?
El conector de Microsoft Defender XDR-ServiceNow ya no está disponible en el portal de Microsoft Defender. Sin embargo, todavía puede integrar Microsoft Defender XDR con ServiceNow mediante el Graph API de seguridad de Microsoft. Para obtener más información, consulte Integraciones de soluciones de seguridad mediante el API para seguridad de Microsoft Graph.
La integración de Microsoft Defender XDR-ServiceNow estaba disponible anteriormente en el portal de Microsoft Defender para obtener una vista previa y comentarios. Esta integración le permite crear incidentes de ServiceNow a partir de incidentes de Microsoft Defender XDR.
¿Por qué no puedo enviar archivos?
En algunos casos, un bloque de administrador puede causar problemas de envío al intentar enviar un archivo potencialmente infectado al sitio web de Inteligencia de seguridad de Microsoft para su análisis. El siguiente proceso muestra cómo resolver este problema.
Revisar la configuración
Abra la configuración de la aplicación de Azure Enterprise. En Aplicaciones empresariales>Los usuarios pueden dar su consentimiento a las aplicaciones que acceden a los datos de la empresa en su nombre, compruebe si está seleccionado Sí o No.
Si se selecciona No, un administrador de Microsoft Entra para el inquilino del cliente debe proporcionar consentimiento para la organización. En función de la configuración con Microsoft Entra ID, es posible que los usuarios puedan enviar una solicitud directamente desde el mismo cuadro de diálogo. Si no hay ninguna opción para solicitar el consentimiento del administrador, los usuarios deben solicitar que estos permisos se agreguen a su administrador de Microsoft Entra. Vaya a la sección siguiente para obtener más información.
Si se selecciona Sí , asegúrese de que la configuración de la aplicación Inteligencia de seguridad de Windows Defender Habilitada para que los usuarios inicien sesión está establecida enSíen Azure.
Si no está seleccionado, debe solicitar un administrador de Microsoft Entra habilitarlo.
Implementación de los permisos de aplicación empresarial necesarios
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Este proceso requiere un administrador global o un administrador de aplicaciones en el inquilino.
Seleccione Conceder consentimiento de administrador para la organización.
Si puede hacerlo, revise los permisos de API necesarios para esta aplicación, como se muestra en la siguiente imagen. Proporcione el consentimiento para el inquilino.
Si el administrador recibe un error al intentar proporcionar el consentimiento manualmente, pruebe la opción 1 o la opción 2 como posibles soluciones alternativas.
Opción 1: Aprobar permisos de aplicación empresarial por solicitud de usuario
Microsoft Entra Los administradores deben permitir que los usuarios soliciten el consentimiento del administrador a las aplicaciones. Compruebe que la configuración está configurada como Sí en aplicaciones empresariales.
Una vez verificada esta configuración, los usuarios pueden pasar por el inicio de sesión del cliente empresarial en Microsoft Security Intelligence y enviar una solicitud de consentimiento del administrador, incluida la justificación.
Después de proporcionar el consentimiento, todos los usuarios del inquilino podrán usar la aplicación.
Opción 2: Proporcionar consentimiento de administrador mediante la autenticación de la aplicación como administrador
Este proceso requiere que los administradores globales pasen por el flujo de inicio de sesión del cliente enterprise en Inteligencia de seguridad de Microsoft.
A continuación, los administradores revisan los permisos y asegúrese de seleccionar Consentimiento en nombre de su organización y, a continuación, seleccione Aceptar.
Todos los usuarios del inquilino ahora pueden usar esta aplicación.
Opción 3: Eliminar y leer permisos de aplicación
Si ninguna de estas opciones resuelve el problema, pruebe los pasos siguientes (como administrador):
Quite las configuraciones anteriores de la aplicación. Vaya a Aplicaciones empresariales y seleccione Eliminar.
Reemplace por {tenant-id} el inquilino específico que necesita conceder consentimiento a esta aplicación en la dirección URL siguiente. Copie la siguiente dirección URL en el explorador: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
El resto de los parámetros ya están completados.
Revise los permisos necesarios para la aplicación y, a continuación, seleccione Aceptar.
Confirme que los permisos se aplican en el Azure Portal.
Inicie sesión en Microsoft Security Intelligence como usuario empresarial con una cuenta que no sea de administrador para ver si tiene acceso.
Si la advertencia no se resuelve después de seguir estos pasos de solución de problemas, llame al soporte técnico de Microsoft.
Para obtener esta credencial de aptitudes aplicadas de Microsoft, los alumnos muestran la capacidad de usar XDR de Microsoft Defender para detectar y responder a ciberamenazas. Los candidatos para esta credencial deben estar familiarizados con la investigación y la recopilación de evidencias sobre los ataques en los puntos de conexión. También deben tener experiencia con Microsoft Defender para punto de conexión y lenguaje de consulta Kusto (KQL).