Problemen met Microsoft Defender XDR-service oplossen
In dit artikel worden problemen behandeld die zich kunnen voordoen wanneer u de Microsoft Defender XDR-service gebruikt. Het biedt oplossingen en tijdelijke oplossingen om deze problemen op te lossen. Als u een probleem ondervindt dat hier niet wordt opgelost, neemt u contact op met Microsoft Ondersteuning.
Als u geen mogelijkheden ziet in het navigatiedeelvenster, zoals incidenten, actiecentrum of opsporing in uw portal, moet u controleren of uw tenant over de juiste licenties beschikt.
Zie Vereisten voor meer informatie.
Microsoft Defender for Identity waarschuwingen worden niet weergegeven in de Microsoft Defender XDR incidenten
Als u Microsoft Defender for Identity in uw omgeving hebt geïmplementeerd, maar u geen Defender for Identity-waarschuwingen ziet als onderdeel van Microsoft Defender XDR incidenten, moet u ervoor zorgen dat de Microsoft Defender for Cloud Apps en Defender for Identity-integratie is ingeschakeld.
Zie Microsoft Defender for Identity-integratie voor meer informatie.
Als u Microsoft Defender XDR wilt inschakelen, opent u Instellingen vanuit het navigatiedeelvenster in de Microsoft Defender-portal. Dit navigatie-item is alleen zichtbaar als u over de vereiste machtigingen en licenties beschikt.
Een fout-positief is een bestand of URL dat is gedetecteerd als schadelijk, maar geen bedreiging vormt. U kunt indicatoren maken en uitsluitingen definiëren om de blokkering op te heffen en bepaalde bestanden/URL's toe te staan. Zie Fout-positieven/negatieven adres in Defender voor Eindpunt.
De Microsoft Defender XDR-ServiceNow-connector is niet meer beschikbaar in de Microsoft Defender-portal. U kunt Microsoft Defender XDR echter nog steeds integreren met ServiceNow met behulp van de Microsoft Security Graph API. Zie Integratie van beveiligingsoplossingen met behulp van de Microsoft Graph beveiligings-API voor meer informatie.
De Microsoft Defender XDR-ServiceNow-integratie was eerder beschikbaar in de Microsoft Defender portal voor preview en feedback. Met deze integratie kunt u ServiceNow-incidenten maken op basis van Microsoft Defender XDR incidenten.
In sommige gevallen kan een beheerdersblokkering problemen veroorzaken bij het indienen van een mogelijk geïnfecteerd bestand naar de website van Microsoft Security Intelligence voor analyse. In het volgende proces ziet u hoe u dit probleem kunt oplossen.
Open uw Azure Enterprise-toepassingsinstellingen. Controleer onder Bedrijfstoepassingen>Gebruikers kunnen toestaan dat apps namens hen toegang krijgen tot bedrijfsgegevens of Ja of Nee is geselecteerd.
Als Nee is geselecteerd, moet een Microsoft Entra beheerder voor de tenant van de klant toestemming geven voor de organisatie. Afhankelijk van de configuratie met Microsoft Entra ID kunnen gebruikers mogelijk rechtstreeks vanuit hetzelfde dialoogvenster een aanvraag indienen. Als er geen optie is om beheerderstoestemming te vragen, moeten gebruikers vragen om deze machtigingen toe te voegen aan hun Microsoft Entra-beheerder. Ga naar de volgende sectie voor meer informatie.
Als Ja is geselecteerd, moet u ervoor zorgen dat de app-instelling Windows Defender Security Intelligence Ingeschakeld voor gebruikers om zich aan te melden? is ingesteld op Jain Azure. Als Nee is geselecteerd, moet u een Microsoft Entra beheerder inschakelen.
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Voor dit proces is een globale beheerder of toepassingsbeheerder in de tenant vereist.
Selecteer Beheerderstoestemming verlenen voor de organisatie.
Als u dit kunt doen, controleert u de API-machtigingen die vereist zijn voor deze toepassing, zoals in de volgende afbeelding wordt weergegeven. Geef toestemming voor de tenant.
Als de beheerder een fout ontvangt tijdens het handmatig verlenen van toestemming, probeert u optie 1 of optie 2 als mogelijke tijdelijke oplossingen.
Microsoft Entra Beheerders moeten toestaan dat gebruikers beheerderstoestemming voor apps kunnen aanvragen. Controleer of de instelling is geconfigureerd op Ja in Bedrijfstoepassingen.
Meer informatie vindt u in Werkstroom voor Beheer toestemming configureren.
Zodra deze instelling is geverifieerd, kunnen gebruikers de aanmelding van de zakelijke klant bij Microsoft Security Intelligence doorlopen en een verzoek indienen voor beheerderstoestemming, inclusief een reden.
Beheerders kunnen de aanvraag voor toepassingsmachtigingen voor Azure-beheerderstoestemming controleren en goedkeuren.
Nadat u toestemming hebt gegeven, kunnen alle gebruikers in de tenant de toepassing gebruiken.
Voor dit proces moeten globale beheerders de aanmeldingsstroom voor enterprise-klanten bij Microsoft Security Intelligence doorlopen.
Vervolgens controleren beheerders de machtigingen en zorgen ervoor dat ze Toestemming namens uw organisatie selecteren en vervolgens Accepteren selecteren.
Alle gebruikers in de tenant kunnen deze toepassing nu gebruiken.
Als geen van deze opties het probleem oplost, voert u de volgende stappen uit (als beheerder):
Verwijder eerdere configuraties voor de toepassing. Ga naar Bedrijfstoepassingen en selecteer Verwijderen.
Vastleggen
TenantID
vanuit Eigenschappen.Vervang door
{tenant-id}
de specifieke tenant die toestemming moet verlenen voor deze toepassing in de onderstaande URL. Kopieer de volgende URL naar de browser:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
De rest van de parameters zijn al voltooid.
Controleer de machtigingen die zijn vereist voor de toepassing en selecteer vervolgens Accepteren.
Controleer of de machtigingen zijn toegepast in de Azure Portal.
Meld u aan bij Microsoft Security Intelligence als een zakelijke gebruiker met een niet-beheerdersaccount om te zien of u toegang hebt.
Als de waarschuwing niet wordt opgelost nadat u deze stappen voor probleemoplossing hebt uitgevoerd, neemt u contact op met Microsoft-ondersteuning.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.