Ler em inglês

Compartilhar via


Solucionar problemas do serviço do Microsoft Defender XDR

Este artigo aborda problemas que podem surgir à medida que utiliza o serviço Microsoft Defender XDR. Fornece soluções e soluções alternativas para ajudá-lo a resolve estes problemas. Se encontrar um problema que não seja resolvido aqui, contacte Suporte da Microsoft.

Não vejo conteúdo Microsoft Defender XDR

Se não vir capacidades no painel de navegação, como Incidentes, Centro de Ação ou Investigação no portal, tem de verificar se o seu inquilino tem as licenças adequadas.

Para obter mais informações, confira Pré-requisitos.

Microsoft Defender para Identidade alertas não aparecem nos incidentes de Microsoft Defender XDR

Se tiver Microsoft Defender para Identidade implementado no seu ambiente, mas não vir alertas do Defender para Identidade como parte de Microsoft Defender XDR incidentes, tem de garantir que o Microsoft Defender para Aplicativos de Nuvem e a integração do Defender para Identidade estão ativadas.

Para obter mais informações, veja Microsoft Defender para Identidade integração.

Como fazer ativar Microsoft Defender XDR?

Para ativar Microsoft Defender XDR, aceda às Definições a partir do painel de navegação no portal do Microsoft Defender. Este item de navegação só está visível se tiver as permissões e licenças de pré-requisitos.

Como fazer criar uma exceção para o meu ficheiro/URL?

Um falso positivo é um ficheiro ou URL que é detetado como malicioso, mas não é uma ameaça. Pode criar indicadores e definir exclusões para desbloquear e permitir determinados ficheiros/URLs. Veja Resolver falsos positivos/negativos no Defender para Endpoint.

Como posso integrar pedidos do ServiceNow no portal do Microsoft Defender?

O conector Microsoft Defender XDR-ServiceNow já não está disponível no portal do Microsoft Defender. No entanto, ainda pode integrar Microsoft Defender XDR com o ServiceNow através do API do Graph de Segurança da Microsoft. Para obter mais informações, veja Integrações de soluções de segurança com o Microsoft Graph API de Segurança.

A integração Microsoft Defender XDR-ServiceNow estava anteriormente disponível no portal do Microsoft Defender para pré-visualização e comentários. Esta integração permitiu-lhe criar incidentes do ServiceNow a partir de Microsoft Defender XDR incidentes.

Por que motivo não consigo submeter ficheiros?

Em alguns casos, um bloqueio de administrador pode causar problemas de submissão quando tenta submeter um ficheiro potencialmente infetado ao site de informações de Segurança da Microsoft para análise. O processo seguinte mostra como resolve este problema.

Revisar suas configurações

Abra as definições da aplicação Azure Enterprise. Em Aplicações Empresariais>, os utilizadores podem consentir que as aplicações acedam aos dados da empresa em seu nome, marcar se Sim ou Não está selecionado.

  • Se Não estiver selecionado, um administrador Microsoft Entra do inquilino do cliente tem de dar consentimento à organização. Consoante a configuração com Microsoft Entra ID, os utilizadores poderão submeter um pedido diretamente a partir da mesma caixa de diálogo. Se não existir nenhuma opção para pedir o consentimento do administrador, os utilizadores terão de pedir que estas permissões sejam adicionadas ao administrador Microsoft Entra. Aceda à secção seguinte para obter mais informações.

  • Se Sim estiver selecionado, certifique-se de que a definição da aplicação Informações de Segurança do Windows Defender Ativada para os utilizadores iniciarem sessão? está definida como Simno Azure. Se Não estiver selecionado, terá de pedir a um administrador de Microsoft Entra que o ative.

Implementar as permissões necessárias da Aplicação Empresarial

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Este processo requer um Administrador Global ou Administrador de Aplicações no inquilino.

  1. Abra as definições da Aplicação Empresarial.

  2. Selecione Conceder consentimento do administrador para a organização.

  3. Se conseguir fazê-lo, reveja as permissões de API necessárias para esta aplicação, como mostra a imagem seguinte. Dê consentimento ao inquilino.

    conceder imagem de consentimento.

  4. Se o administrador receber um erro ao tentar dar consentimento manualmente, experimente a Opção 1 ou a Opção 2 como soluções possíveis.

Opção 1: Aprovar permissões de aplicação empresarial por pedido de utilizador

Microsoft Entra Administradores têm de permitir que os utilizadores peçam consentimento do administrador às aplicações. Verifique se a definição está configurada para Sim em Aplicações empresariais.

Definições de utilizador de aplicações empresariais.

Estão disponíveis mais informações em Configurar Administração fluxo de trabalho de consentimento.

Assim que esta definição for verificada, os utilizadores podem aceder ao início de sessão do cliente empresarial nas informações de segurança da Microsoft e submeter um pedido de consentimento do administrador, incluindo justificação.

Fluxo de início de sessão da Contoso.

Os administradores podem rever e aprovar as permissões de aplicação pedidos de consentimento do administrador do Azure.

Depois de dar consentimento, todos os utilizadores no inquilino poderão utilizar a aplicação.

Este processo requer que os Administradores Globais percorram o fluxo de início de sessão do cliente Enterprise nas informações de segurança da Microsoft.

Fluxo de início de sessão de consentimento.

Em seguida, os administradores analisam as permissões e certifiquem-se de que selecionam Consentimento em nome da sua organização e, em seguida, selecionam Aceitar.

Todos os utilizadores no inquilino podem agora utilizar esta aplicação.

Opção 3: Eliminar e ler permissões de aplicações

Se nenhuma destas opções resolve o problema, experimente os seguintes passos (como administrador):

  1. Remova as configurações anteriores da aplicação. Aceda a Aplicações empresariais e selecione eliminar.

    Eliminar permissões de aplicações.

  2. Captura TenantID a partir de Propriedades.

  3. Substitua pelo {tenant-id} inquilino específico que precisa de dar consentimento a esta aplicação no URL abaixo. Copie o seguinte URL para o browser: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Os restantes parâmetros já estão concluídos.

    São necessárias permissões.

  4. Reveja as permissões exigidas pela aplicação e, em seguida, selecione Aceitar.

  5. Confirme que as permissões foram aplicadas no portal do Azure.

    Reveja que as permissões são aplicadas.

  6. Inicie sessão nas informações de segurança da Microsoft como um utilizador empresarial com uma conta não administrativa para ver se tem acesso.

Se o aviso não for resolvido após seguir estes passos de resolução de problemas, contacte o suporte da Microsoft.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.