Rozwiązywanie problemów z usługą Microsoft Defender XDR
W tym artykule opisano problemy, które mogą wystąpić podczas korzystania z usługi Microsoft Defender XDR. Udostępnia rozwiązania i obejścia ułatwiające rozwiązanie tych problemów. Jeśli napotkasz problem, który nie został tutaj rozwiązany, skontaktuj się z pomoc techniczna firmy Microsoft.
Jeśli nie widzisz możliwości w okienku nawigacji, takich jak Zdarzenia, Centrum akcji lub Wyszukiwanie zagrożeń w portalu, musisz sprawdzić, czy dzierżawa ma odpowiednie licencje.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne.
Jeśli Microsoft Defender for Identity wdrożone w środowisku, ale nie widzisz alertów usługi Defender for Identity w ramach zdarzeń Microsoft Defender XDR, upewnij się, że Microsoft Defender for Cloud Apps i integracja usługi Defender for Identity jest włączona.
Aby uzyskać więcej informacji, zobacz integrację Microsoft Defender for Identity.
Aby włączyć Microsoft Defender XDR, uzyskaj dostęp do ustawień w okienku nawigacji w portalu Microsoft Defender. Ten element nawigacji jest widoczny tylko wtedy, gdy masz uprawnienia i licencje wymagań wstępnych.
Wynik fałszywie dodatni to plik lub adres URL, który jest wykrywany jako złośliwy, ale nie stanowi zagrożenia. Możesz tworzyć wskaźniki i definiować wykluczenia, aby odblokować i zezwolić na niektóre pliki/adresy URL. Zobacz Address false positives/negatives in Defender for Endpoint (Adresowanie wyników fałszywie dodatnich/ujemnych w usłudze Defender for Endpoint).
Łącznik Microsoft Defender XDR-ServiceNow nie jest już dostępny w portalu Microsoft Defender. Nadal jednak można zintegrować Microsoft Defender XDR z usługą ServiceNow przy użyciu interfejs Graph API zabezpieczeń firmy Microsoft. Aby uzyskać więcej informacji, zobacz Integracje rozwiązań zabezpieczeń przy użyciu programu Microsoft Graph interfejs API Zabezpieczenia.
Integracja Microsoft Defender XDR-ServiceNow była wcześniej dostępna w portalu Microsoft Defender w celu wyświetlenia podglądu i opinii. Ta integracja umożliwia tworzenie zdarzeń usługi ServiceNow na podstawie zdarzeń Microsoft Defender XDR.
W niektórych przypadkach blok administratora może powodować problemy z przesyłaniem podczas próby przesłania potencjalnie zainfekowanego pliku do witryny internetowej analizy zabezpieczeń firmy Microsoft w celu analizy. W poniższym procesie pokazano, jak rozwiązać ten problem.
Otwórz ustawienia aplikacji azure enterprise. W obszarze Aplikacje> dla przedsiębiorstwużytkownicy mogą wyrazić zgodę na dostęp aplikacji uzyskujących dostęp do danych firmy w ich imieniu, sprawdź, czy wybrano opcję Tak czy Nie.
Jeśli wybrano opcję Nie, administrator Microsoft Entra dzierżawy klienta musi wyrazić zgodę dla organizacji. W zależności od konfiguracji z Tożsamość Microsoft Entra użytkownicy mogą być w stanie przesłać żądanie bezpośrednio z tego samego okna dialogowego. Jeśli nie ma opcji, aby poprosić o zgodę administratora, użytkownicy muszą zażądać dodania tych uprawnień do administratora Microsoft Entra. Przejdź do poniższej sekcji, aby uzyskać więcej informacji.
Jeśli wybrano opcję Tak, upewnij się, że ustawienie aplikacji Windows Defender Security Intelligence Włączone dla użytkowników do logowania? jest ustawione na wartość Tak na platformie Azure. Jeśli wybrano opcję Nie, musisz poprosić administratora Microsoft Entra o włączenie go.
Ważne
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Ten proces wymaga administratora globalnego lub administratora aplikacji w dzierżawie.
Wybierz pozycję Udziel zgody administratora dla organizacji.
Jeśli możesz to zrobić, przejrzyj uprawnienia interfejsu API wymagane dla tej aplikacji, jak pokazano na poniższej ilustracji. Podaj zgodę dla dzierżawy.
Jeśli administrator otrzyma błąd podczas próby ręcznego udzielenia zgody, spróbuj zastosować opcję 1 lub opcję 2 jako możliwe obejścia.
Microsoft Entra Administratorzy muszą zezwolić użytkownikom na żądanie zgody administratora na aplikacje. Sprawdź, czy ustawienie jest skonfigurowane na wartość Tak w aplikacjach dla przedsiębiorstw.
Więcej informacji można znaleźć w temacie Konfigurowanie przepływu pracy Administracja zgody.
Po zweryfikowaniu tego ustawienia użytkownicy mogą przejść przez logowanie klienta przedsiębiorstwa w analizie zabezpieczeń firmy Microsoft i przesłać żądanie zgody administratora, w tym uzasadnienie.
Administratorzy mogą przeglądać i zatwierdzać uprawnienia aplikacji żądania zgody administratora platformy Azure.
Po wyrażeniu zgody wszyscy użytkownicy w dzierżawie będą mogli korzystać z aplikacji.
Ten proces wymaga, aby administratorzy globalni przechodzili przez przepływ logowania klienta enterprise w analizie zabezpieczeń firmy Microsoft.
Następnie administratorzy przejrzyj uprawnienia i upewnij się, że wybierzesz pozycję Zgoda w imieniu organizacji, a następnie wybierz pozycję Akceptuj.
Wszyscy użytkownicy w dzierżawie mogą teraz korzystać z tej aplikacji.
Jeśli żadna z tych opcji nie rozwiąże problemu, spróbuj wykonać następujące kroki (jako administrator):
Usuń poprzednie konfiguracje aplikacji. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Usuń.
Przechwytywanie
TenantID
z właściwości.Zastąp
{tenant-id}
element określoną dzierżawą, która musi udzielić zgody tej aplikacji w poniższym adresie URL. Skopiuj następujący adres URL do przeglądarki:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Pozostałe parametry są już ukończone.
Przejrzyj uprawnienia wymagane przez aplikację, a następnie wybierz pozycję Akceptuj.
Upewnij się, że uprawnienia są stosowane w Azure Portal.
Zaloguj się do analizy zabezpieczeń firmy Microsoft jako użytkownik przedsiębiorstwa z kontem nieadministracyjnym, aby sprawdzić, czy masz dostęp.
Jeśli ostrzeżenie nie zostanie rozwiązane po wykonaniu tych kroków rozwiązywania problemów, zadzwoń do pomocy technicznej firmy Microsoft.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.