Solucionar problemas do serviço do Microsoft Defender XDR
Artigo
Aplica-se a:
Microsoft Defender XDR
Este artigo aborda problemas que podem surgir à medida que utiliza o serviço Microsoft Defender XDR. Fornece soluções e soluções alternativas para ajudá-lo a resolve estes problemas. Se encontrar um problema que não seja resolvido aqui, contacte Suporte da Microsoft.
Não vejo conteúdo Microsoft Defender XDR
Se não vir capacidades no painel de navegação, como Incidentes, Centro de Ação ou Investigação no portal, tem de verificar se o seu inquilino tem as licenças adequadas.
Microsoft Defender para Identidade alertas não aparecem nos incidentes de Microsoft Defender XDR
Se tiver Microsoft Defender para Identidade implementado no seu ambiente, mas não vir alertas do Defender para Identidade como parte de Microsoft Defender XDR incidentes, tem de garantir que o Microsoft Defender para Aplicativos de Nuvem e a integração do Defender para Identidade estão ativadas.
Para ativar Microsoft Defender XDR, aceda às Definições a partir do painel de navegação no portal do Microsoft Defender. Este item de navegação só está visível se tiver as permissões e licenças de pré-requisitos.
Como fazer criar uma exceção para o meu ficheiro/URL?
Um falso positivo é um ficheiro ou URL que é detetado como malicioso, mas não é uma ameaça. Pode criar indicadores e definir exclusões para desbloquear e permitir determinados ficheiros/URLs. Veja Resolver falsos positivos/negativos no Defender para Endpoint.
Como posso integrar pedidos do ServiceNow no portal do Microsoft Defender?
O conector Microsoft Defender XDR-ServiceNow já não está disponível no portal do Microsoft Defender. No entanto, ainda pode integrar Microsoft Defender XDR com o ServiceNow através do API do Graph de Segurança da Microsoft. Para obter mais informações, veja Integrações de soluções de segurança com o Microsoft Graph API de Segurança.
A integração Microsoft Defender XDR-ServiceNow estava anteriormente disponível no portal do Microsoft Defender para pré-visualização e comentários. Esta integração permitiu-lhe criar incidentes do ServiceNow a partir de Microsoft Defender XDR incidentes.
Por que motivo não consigo submeter ficheiros?
Em alguns casos, um bloqueio de administrador pode causar problemas de submissão quando tenta submeter um ficheiro potencialmente infetado ao site de informações de Segurança da Microsoft para análise. O processo seguinte mostra como resolve este problema.
Revisar suas configurações
Abra as definições da aplicação Azure Enterprise. Em Aplicações Empresariais>, os utilizadores podem consentir que as aplicações acedam aos dados da empresa em seu nome, marcar se Sim ou Não está selecionado.
Se Não estiver selecionado, um administrador Microsoft Entra do inquilino do cliente tem de dar consentimento à organização. Consoante a configuração com Microsoft Entra ID, os utilizadores poderão submeter um pedido diretamente a partir da mesma caixa de diálogo. Se não existir nenhuma opção para pedir o consentimento do administrador, os utilizadores terão de pedir que estas permissões sejam adicionadas ao administrador Microsoft Entra. Aceda à secção seguinte para obter mais informações.
Se Sim estiver selecionado, certifique-se de que a definição da aplicação Informações de Segurança do Windows Defender Ativada para os utilizadores iniciarem sessão? está definida como Simno Azure. Se Não estiver selecionado, terá de pedir a um administrador de Microsoft Entra que o ative.
Implementar as permissões necessárias da Aplicação Empresarial
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Este processo requer um Administrador Global ou Administrador de Aplicações no inquilino.
Selecione Conceder consentimento do administrador para a organização.
Se conseguir fazê-lo, reveja as permissões de API necessárias para esta aplicação, como mostra a imagem seguinte. Dê consentimento ao inquilino.
Se o administrador receber um erro ao tentar dar consentimento manualmente, experimente a Opção 1 ou a Opção 2 como soluções possíveis.
Opção 1: Aprovar permissões de aplicação empresarial por pedido de utilizador
Microsoft Entra Administradores têm de permitir que os utilizadores peçam consentimento do administrador às aplicações. Verifique se a definição está configurada para Sim em Aplicações empresariais.
Assim que esta definição for verificada, os utilizadores podem aceder ao início de sessão do cliente empresarial nas informações de segurança da Microsoft e submeter um pedido de consentimento do administrador, incluindo justificação.
Depois de dar consentimento, todos os utilizadores no inquilino poderão utilizar a aplicação.
Opção 2: fornecer consentimento do administrador ao autenticar a aplicação como administrador
Este processo requer que os Administradores Globais percorram o fluxo de início de sessão do cliente Enterprise nas informações de segurança da Microsoft.
Em seguida, os administradores analisam as permissões e certifiquem-se de que selecionam Consentimento em nome da sua organização e, em seguida, selecionam Aceitar.
Todos os utilizadores no inquilino podem agora utilizar esta aplicação.
Opção 3: Eliminar e ler permissões de aplicações
Se nenhuma destas opções resolve o problema, experimente os seguintes passos (como administrador):
Remova as configurações anteriores da aplicação. Aceda a Aplicações empresariais e selecione eliminar.
Substitua pelo {tenant-id} inquilino específico que precisa de dar consentimento a esta aplicação no URL abaixo. Copie o seguinte URL para o browser: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Os restantes parâmetros já estão concluídos.
Reveja as permissões exigidas pela aplicação e, em seguida, selecione Aceitar.
Confirme que as permissões foram aplicadas no portal do Azure.
Para obter essa credencial de Habilidades Aplicadas da Microsoft, os alunos demonstram a capacidade de usar o Microsoft Defender XDR para detectar e responder a ameaças cibernéticas. Os candidatos a essa credencial devem estar familiarizados com a investigação e coleta de evidências sobre ataques a pontos de extremidade. Eles também devem ter experiência usando o Microsoft Defender para Ponto de Extremidade e a KQL (Linguagem de Consulta Kusto).