Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Rozwiązywanie problemów z usługą Microsoft Defender XDR

W tym artykule opisano problemy, które mogą wystąpić podczas korzystania z usługi Microsoft Defender XDR. Udostępnia rozwiązania i obejścia ułatwiające rozwiązanie tych problemów. Jeśli napotkasz problem, który nie został tutaj rozwiązany, skontaktuj się z pomoc techniczna firmy Microsoft.

Nie widzę zawartości Microsoft Defender XDR

Jeśli nie widzisz możliwości w okienku nawigacji, takich jak Zdarzenia, Centrum akcji lub Wyszukiwanie zagrożeń w portalu, musisz sprawdzić, czy dzierżawa ma odpowiednie licencje.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne.

Microsoft Defender for Identity alerty nie są wyświetlane w zdarzeniach Microsoft Defender XDR

Jeśli Microsoft Defender for Identity wdrożone w środowisku, ale nie widzisz alertów usługi Defender for Identity w ramach zdarzeń Microsoft Defender XDR, upewnij się, że Microsoft Defender for Cloud Apps i integracja usługi Defender for Identity jest włączona.

Aby uzyskać więcej informacji, zobacz integrację Microsoft Defender for Identity.

Jak mogę włączyć Microsoft Defender XDR?

Aby włączyć Microsoft Defender XDR, uzyskaj dostęp do ustawień w okienku nawigacji w portalu Microsoft Defender. Ten element nawigacji jest widoczny tylko wtedy, gdy masz uprawnienia i licencje wymagań wstępnych.

Jak mogę utworzyć wyjątek dla mojego pliku/adresu URL?

Wynik fałszywie dodatni to plik lub adres URL, który jest wykrywany jako złośliwy, ale nie stanowi zagrożenia. Możesz tworzyć wskaźniki i definiować wykluczenia, aby odblokować i zezwolić na niektóre pliki/adresy URL. Zobacz Address false positives/negatives in Defender for Endpoint (Adresowanie wyników fałszywie dodatnich/ujemnych w usłudze Defender for Endpoint).

Jak zintegrować bilety usługi ServiceNow z portalem Microsoft Defender?

Łącznik Microsoft Defender XDR-ServiceNow nie jest już dostępny w portalu Microsoft Defender. Nadal jednak można zintegrować Microsoft Defender XDR z usługą ServiceNow przy użyciu interfejs Graph API zabezpieczeń firmy Microsoft. Aby uzyskać więcej informacji, zobacz Integracje rozwiązań zabezpieczeń przy użyciu programu Microsoft Graph interfejs API Zabezpieczenia.

Integracja Microsoft Defender XDR-ServiceNow była wcześniej dostępna w portalu Microsoft Defender w celu wyświetlenia podglądu i opinii. Ta integracja umożliwia tworzenie zdarzeń usługi ServiceNow na podstawie zdarzeń Microsoft Defender XDR.

Dlaczego nie mogę przesłać plików?

W niektórych przypadkach blok administratora może powodować problemy z przesyłaniem podczas próby przesłania potencjalnie zainfekowanego pliku do witryny internetowej analizy zabezpieczeń firmy Microsoft w celu analizy. W poniższym procesie pokazano, jak rozwiązać ten problem.

Przeglądanie ustawień

Otwórz ustawienia aplikacji azure enterprise. W obszarze Aplikacje> dla przedsiębiorstwużytkownicy mogą wyrazić zgodę na dostęp aplikacji uzyskujących dostęp do danych firmy w ich imieniu, sprawdź, czy wybrano opcję Tak czy Nie.

  • Jeśli wybrano opcję Nie, administrator Microsoft Entra dzierżawy klienta musi wyrazić zgodę dla organizacji. W zależności od konfiguracji z Tożsamość Microsoft Entra użytkownicy mogą być w stanie przesłać żądanie bezpośrednio z tego samego okna dialogowego. Jeśli nie ma opcji, aby poprosić o zgodę administratora, użytkownicy muszą zażądać dodania tych uprawnień do administratora Microsoft Entra. Przejdź do poniższej sekcji, aby uzyskać więcej informacji.

  • Jeśli wybrano opcję Tak, upewnij się, że ustawienie aplikacji Windows Defender Security Intelligence Włączone dla użytkowników do logowania? jest ustawione na wartość Tak na platformie Azure. Jeśli wybrano opcję Nie, musisz poprosić administratora Microsoft Entra o włączenie go.

Implementowanie wymaganych uprawnień aplikacji dla przedsiębiorstw

Ważne

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Ten proces wymaga administratora globalnego lub administratora aplikacji w dzierżawie.

  1. Otwórz ustawienia aplikacji dla przedsiębiorstw.

  2. Wybierz pozycję Udziel zgody administratora dla organizacji.

  3. Jeśli możesz to zrobić, przejrzyj uprawnienia interfejsu API wymagane dla tej aplikacji, jak pokazano na poniższej ilustracji. Podaj zgodę dla dzierżawy.

    obraz udzielania zgody.

  4. Jeśli administrator otrzyma błąd podczas próby ręcznego udzielenia zgody, spróbuj zastosować opcję 1 lub opcję 2 jako możliwe obejścia.

Opcja 1. Zatwierdzanie uprawnień aplikacji przedsiębiorstwa według żądania użytkownika

Microsoft Entra Administratorzy muszą zezwolić użytkownikom na żądanie zgody administratora na aplikacje. Sprawdź, czy ustawienie jest skonfigurowane na wartość Tak w aplikacjach dla przedsiębiorstw.

Ustawienia użytkownika aplikacji dla przedsiębiorstw.

Więcej informacji można znaleźć w temacie Konfigurowanie przepływu pracy Administracja zgody.

Po zweryfikowaniu tego ustawienia użytkownicy mogą przejść przez logowanie klienta przedsiębiorstwa w analizie zabezpieczeń firmy Microsoft i przesłać żądanie zgody administratora, w tym uzasadnienie.

Przepływ logowania firmy Contoso.

Administratorzy mogą przeglądać i zatwierdzać uprawnienia aplikacji żądania zgody administratora platformy Azure.

Po wyrażeniu zgody wszyscy użytkownicy w dzierżawie będą mogli korzystać z aplikacji.

Ten proces wymaga, aby administratorzy globalni przechodzili przez przepływ logowania klienta enterprise w analizie zabezpieczeń firmy Microsoft.

Przepływ logowania zgody.

Następnie administratorzy przejrzyj uprawnienia i upewnij się, że wybierzesz pozycję Zgoda w imieniu organizacji, a następnie wybierz pozycję Akceptuj.

Wszyscy użytkownicy w dzierżawie mogą teraz korzystać z tej aplikacji.

Opcja 3. Usuwanie i odczytywanie uprawnień aplikacji

Jeśli żadna z tych opcji nie rozwiąże problemu, spróbuj wykonać następujące kroki (jako administrator):

  1. Usuń poprzednie konfiguracje aplikacji. Przejdź do pozycji Aplikacje dla przedsiębiorstw i wybierz pozycję Usuń.

    Usuń uprawnienia aplikacji.

  2. Przechwytywanie TenantID z właściwości.

  3. Zastąp {tenant-id} element określoną dzierżawą, która musi udzielić zgody tej aplikacji w poniższym adresie URL. Skopiuj następujący adres URL do przeglądarki: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Pozostałe parametry są już ukończone.

    Wymagane uprawnienia.

  4. Przejrzyj uprawnienia wymagane przez aplikację, a następnie wybierz pozycję Akceptuj.

  5. Upewnij się, że uprawnienia są stosowane w Azure Portal.

    Sprawdź, czy są stosowane uprawnienia.

  6. Zaloguj się do analizy zabezpieczeń firmy Microsoft jako użytkownik przedsiębiorstwa z kontem nieadministracyjnym, aby sprawdzić, czy masz dostęp.

Jeśli ostrzeżenie nie zostanie rozwiązane po wykonaniu tych kroków rozwiązywania problemów, zadzwoń do pomocy technicznej firmy Microsoft.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.