A Microsoft Defender XDR szolgáltatási hibáinak elhárítása
Cikk
A következőre érvényes::
Microsoft Defender XDR
Ez a cikk az Microsoft Defender XDR szolgáltatás használata során felmerülő problémákat ismerteti. Megoldásokat és kerülő megoldásokat kínál a problémák megoldásához. Ha olyan problémát tapasztal, amelyet itt nem oldunk meg, forduljon Microsoft ügyfélszolgálata.
Nem látom Microsoft Defender XDR tartalmat
Ha nem látja a navigációs panel képességeit, például az Incidensek, a Műveletközpont vagy a Veszélyforrás-keresés funkciót a portálon, ellenőriznie kell, hogy a bérlő rendelkezik-e a megfelelő licencekkel.
Microsoft Defender for Identity riasztások nem jelennek meg a Microsoft Defender XDR incidensekben
Ha Microsoft Defender for Identity van üzembe helyezve a környezetben, de nem látja a Defender for Identity riasztásait Microsoft Defender XDR incidensek részeként, győződjön meg arról, hogy a Microsoft Defender for Cloud Apps és a Defender for Identity integrációja engedélyezve van.
A Microsoft Defender XDR bekapcsolásához nyissa meg a beállításokat a Microsoft Defender portál navigációs ablakából. Ez a navigációs elem csak akkor látható, ha rendelkezik az előfeltételként megadott engedélyekkel és licencekkel.
Hogyan kivételt létrehozni a fájlhoz/URL-címhez?
A hamis pozitív egy olyan fájl vagy URL-cím, amely kártevőként van észlelve, de nem fenyegetés. Létrehozhat mutatókat, és definiálhat kizárásokat bizonyos fájlok/URL-címek blokkolásának feloldásához és engedélyezéséhez. Lásd: Hamis pozitív/negatív értékek kezelése a Végponthoz készült Defenderben.
Hogyan integrálhatom a ServiceNow-jegyeket a Microsoft Defender portálba?
A Microsoft Defender XDR-ServiceNow-összekötő már nem érhető el a Microsoft Defender portálon. A Microsoft Security Graph API használatával azonban továbbra is integrálhatja a Microsoft Defender XDR a ServiceNow szolgáltatással. További információ: Biztonsági megoldások integrációja a Microsoft Graph Biztonság használatával.
A Microsoft Defender XDR-ServiceNow-integráció korábban az Microsoft Defender portálon volt elérhető előzetes és visszajelzés céljából. Ez az integráció lehetővé tette ServiceNow-incidensek létrehozását Microsoft Defender XDR incidensekből.
Miért nem tudok fájlokat küldeni?
Bizonyos esetekben a rendszergazdai blokkok beküldési problémákat okozhatnak, amikor egy potenciálisan fertőzött fájlt próbál elküldeni a Microsoft biztonságiintelligencia-webhelyére elemzés céljából. Az alábbi folyamat bemutatja, hogyan oldhatja meg ezt a problémát.
A beállítások áttekintése
Nyissa meg az Azure Enterprise alkalmazásbeállításait. A Vállalati alkalmazások> területen afelhasználók engedélyezhetik, hogy az alkalmazások a nevükben hozzáférjenek a vállalati adatokhoz, ellenőrizze, hogy az Igen vagy a Nem lehetőség van-e kiválasztva.
Ha a Nem beállítás van kiválasztva, az ügyfélbérlő Microsoft Entra rendszergazdájának hozzájárulást kell adnia a szervezet számára. A Microsoft Entra ID konfigurációjától függően előfordulhat, hogy a felhasználók közvetlenül ugyanabból a párbeszédpanelről küldhetnek be kérést. Ha nincs lehetőség rendszergazdai hozzájárulás kérésére, a felhasználóknak meg kell kérniük, hogy ezeket az engedélyeket hozzá kell adni a Microsoft Entra rendszergazdához. További információért tekintse meg a következő szakaszt.
Ha az Igen beállítás van kiválasztva, győződjön meg arról, hogy a Windows Defender biztonságiintelligencia-alkalmazás engedélyezve van a felhasználók számára a bejelentkezéshez?beállításnál az Igen értékre van állítva az Azure-ban. Ha a Nem beállítás van kiválasztva, egy Microsoft Entra rendszergazdai jogosultságot kell kérnie.
A szükséges vállalati alkalmazásengedélyek implementálása
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Ehhez a folyamathoz globális rendszergazdára vagy alkalmazásadminisztrátorra van szükség a bérlőben.
Válassza a Rendszergazdai hozzájárulás megadása a szervezet számára lehetőséget.
Ha ezt meg tudja tenni, tekintse át az alkalmazáshoz szükséges API-engedélyeket az alábbi ábrán látható módon. Adja meg a bérlő hozzájárulását.
Ha a rendszergazda hibaüzenetet kap a hozzájárulás manuális megkísérlése során, próbálkozzon az 1 . lehetőséggel vagy a 2. lehetőséggel .
1. lehetőség: Vállalati alkalmazásengedélyek jóváhagyása felhasználói kérés alapján
Microsoft Entra A rendszergazdáknak engedélyeznie kell, hogy a felhasználók rendszergazdai hozzájárulást kérjenek az alkalmazásokhoz. Ellenőrizze, hogy a beállítás Igen értékre van-e konfigurálva a vállalati alkalmazásokban.
A beállítás ellenőrzése után a felhasználók a Microsoft biztonsági intelligenciájában keresztül bejelentkezhetnek a vállalati ügyfélbe, és elküldhetik a rendszergazdai hozzájárulásra vonatkozó kérést, beleértve az indoklást is.
Ezután a rendszergazdák áttekintik az engedélyeket, és mindenképpen a Hozzájárulás lehetőséget választják a szervezet nevében, majd válassza az Elfogadás lehetőséget.
A bérlő összes felhasználója használhatja ezt az alkalmazást.
3. lehetőség: Alkalmazásengedélyek törlése és olvasása
Ha a fenti lehetőségek egyike sem oldja meg a problémát, próbálkozzon a következő lépésekkel (rendszergazdaként):
Távolítsa el az alkalmazás korábbi konfigurációit. Lépjen a Vállalati alkalmazások elemre, és válassza a törlés lehetőséget.
Cserélje le a elemet {tenant-id} arra a bérlőre, amelynek hozzájárulást kell adnia ehhez az alkalmazáshoz az alábbi URL-címen. Másolja a következő URL-címet a böngészőbe: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
A többi paraméter már befejeződött.
Tekintse át az alkalmazás által igényelt engedélyeket, majd válassza az Elfogadás lehetőséget.
Ellenőrizze, hogy a Azure Portal alkalmazza-e az engedélyeket.
Jelentkezzen be a Microsoft biztonsági intelligenciájába vállalati felhasználóként, nem rendszergazdai fiókkal, és ellenőrizze, hogy rendelkezik-e hozzáféréssel.
Ha a hibaelhárítási lépések végrehajtása után a figyelmeztetés nem oldható fel, hívja fel a Microsoft ügyfélszolgálatát.
A Microsoft Applied Skills hitelesítő adatainak megszerzéséhez a tanulók bemutatják, hogy a Microsoft Defender XDR használatával képesek észlelni és reagálni a kibertámadásokra. A hitelesítő adatokra pályázóknak tisztában kell lenniük a végpontok elleni támadásokkal kapcsolatos bizonyítékok vizsgálatával és gyűjtésével. A Végponthoz készült Microsoft Defender és a Kusto lekérdezésnyelv (KQL) használatát is tapasztalatokkal kell rendelkezniük.