Compartir a través de


Solución de problemas del servicio de Microsoft Defender XDR

En este artículo se abordan los problemas que pueden surgir al usar el servicio de Microsoft Defender XDR. Proporciona soluciones y soluciones alternativas para ayudarle a resolver estos problemas. Si encuentra un problema que no se soluciona aquí, póngase en contacto con Soporte técnico de Microsoft.

No veo Microsoft Defender XDR contenido

Si no ve funcionalidades en el panel de navegación, como incidentes, centro de acciones o búsqueda en el portal, debe comprobar que el inquilino tiene las licencias adecuadas.

Para obtener más información, consulte Requisitos previos.

Microsoft Defender for Identity alertas no se muestran en los incidentes de Microsoft Defender XDR

Si Microsoft Defender for Identity ha implementado en su entorno pero no ve alertas de Defender for Identity como parte de Microsoft Defender XDR incidentes, debe asegurarse de que el Microsoft Defender for Cloud Apps y la integración de Defender for Identity está habilitada.

Para obtener más información, consulte integración Microsoft Defender for Identity.

Cómo activar Microsoft Defender XDR??

Para activar Microsoft Defender XDR, acceda a Configuración desde el panel de navegación del portal de Microsoft Defender. Este elemento de navegación solo está visible si tiene los permisos y licencias de requisitos previos.

Cómo crear una excepción para mi archivo o dirección URL?

Un falso positivo es un archivo o dirección URL que se detecta como malintencionado, pero no es una amenaza. Puede crear indicadores y definir exclusiones para desbloquear y permitir determinados archivos o direcciones URL. Consulte Dirección de falsos positivos o negativos en Defender para punto de conexión.

¿Cómo puedo integrar vales de ServiceNow en el portal de Microsoft Defender?

El conector de Microsoft Defender XDR-ServiceNow ya no está disponible en el portal de Microsoft Defender. Sin embargo, todavía puede integrar Microsoft Defender XDR con ServiceNow mediante el Graph API de seguridad de Microsoft. Para obtener más información, consulte Integraciones de soluciones de seguridad mediante el API para seguridad de Microsoft Graph.

La integración de Microsoft Defender XDR-ServiceNow estaba disponible anteriormente en el portal de Microsoft Defender para obtener una vista previa y comentarios. Esta integración le permite crear incidentes de ServiceNow a partir de incidentes de Microsoft Defender XDR.

¿Por qué no puedo enviar archivos?

En algunos casos, un bloque de administrador puede causar problemas de envío al intentar enviar un archivo potencialmente infectado al sitio web de Inteligencia de seguridad de Microsoft para su análisis. El siguiente proceso muestra cómo resolver este problema.

Revisar la configuración

Abra la configuración de la aplicación de Azure Enterprise. En Aplicaciones empresariales>Los usuarios pueden dar su consentimiento a las aplicaciones que acceden a los datos de la empresa en su nombre, compruebe si está seleccionado Sí o No.

  • Si se selecciona No, un administrador de Microsoft Entra para el inquilino del cliente debe proporcionar consentimiento para la organización. En función de la configuración con Microsoft Entra ID, es posible que los usuarios puedan enviar una solicitud directamente desde el mismo cuadro de diálogo. Si no hay ninguna opción para solicitar el consentimiento del administrador, los usuarios deben solicitar que estos permisos se agreguen a su administrador de Microsoft Entra. Vaya a la sección siguiente para obtener más información.

  • Si se selecciona , asegúrese de que la configuración de la aplicación Inteligencia de seguridad de Windows Defender Habilitada para que los usuarios inicien sesión está establecida enen Azure. Si no está seleccionado, debe solicitar un administrador de Microsoft Entra habilitarlo.

Implementación de los permisos de aplicación empresarial necesarios

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Este proceso requiere un administrador global o un administrador de aplicaciones en el inquilino.

  1. Abra Configuración de la aplicación empresarial.

  2. Seleccione Conceder consentimiento de administrador para la organización.

  3. Si puede hacerlo, revise los permisos de API necesarios para esta aplicación, como se muestra en la siguiente imagen. Proporcione el consentimiento para el inquilino.

    conceder la imagen de consentimiento.

  4. Si el administrador recibe un error al intentar proporcionar el consentimiento manualmente, pruebe la opción 1 o la opción 2 como posibles soluciones alternativas.

Opción 1: Aprobar permisos de aplicación empresarial por solicitud de usuario

Microsoft Entra Los administradores deben permitir que los usuarios soliciten el consentimiento del administrador a las aplicaciones. Compruebe que la configuración está configurada como en aplicaciones empresariales.

Configuración de usuario de aplicaciones empresariales.

Encontrará más información en Configurar Administración flujo de trabajo de consentimiento.

Una vez verificada esta configuración, los usuarios pueden pasar por el inicio de sesión del cliente empresarial en Microsoft Security Intelligence y enviar una solicitud de consentimiento del administrador, incluida la justificación.

Flujo de inicio de sesión de Contoso.

Los administradores pueden revisar y aprobar los permisos de aplicación solicitudes de consentimiento del administrador de Azure.

Después de proporcionar el consentimiento, todos los usuarios del inquilino podrán usar la aplicación.

Este proceso requiere que los administradores globales pasen por el flujo de inicio de sesión del cliente enterprise en Inteligencia de seguridad de Microsoft.

Flujo de inicio de sesión de consentimiento.

A continuación, los administradores revisan los permisos y asegúrese de seleccionar Consentimiento en nombre de su organización y, a continuación, seleccione Aceptar.

Todos los usuarios del inquilino ahora pueden usar esta aplicación.

Opción 3: Eliminar y leer permisos de aplicación

Si ninguna de estas opciones resuelve el problema, pruebe los pasos siguientes (como administrador):

  1. Quite las configuraciones anteriores de la aplicación. Vaya a Aplicaciones empresariales y seleccione Eliminar.

    Eliminar permisos de aplicación.

  2. Captura TenantID desde propiedades.

  3. Reemplace por {tenant-id} el inquilino específico que necesita conceder consentimiento a esta aplicación en la dirección URL siguiente. Copie la siguiente dirección URL en el explorador: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    El resto de los parámetros ya están completados.

    Permisos necesarios.

  4. Revise los permisos necesarios para la aplicación y, a continuación, seleccione Aceptar.

  5. Confirme que los permisos se aplican en el Azure Portal.

    Revise que se aplican los permisos.

  6. Inicie sesión en Microsoft Security Intelligence como usuario empresarial con una cuenta que no sea de administrador para ver si tiene acceso.

Si la advertencia no se resuelve después de seguir estos pasos de solución de problemas, llame al soporte técnico de Microsoft.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.