Resolver problemas do serviço Microsoft Defender XDR
Este artigo aborda problemas que podem surgir à medida que utiliza o serviço Microsoft Defender XDR. Fornece soluções e soluções alternativas para o ajudar a resolver estes problemas. Se encontrar um problema que não seja resolvido aqui, contacte Suporte da Microsoft.
Se não vir capacidades no painel de navegação, como Incidentes, Centro de Ação ou Investigação no portal, tem de verificar se o seu inquilino tem as licenças adequadas.
Para obter mais informações, veja Pré-requisitos.
Se tiver Microsoft Defender para Identidade implementado no seu ambiente, mas não vir alertas do Defender para Identidade como parte de Microsoft Defender XDR incidentes, tem de garantir que o Microsoft Defender for Cloud Apps e a integração do Defender para Identidade está ativada.
Para obter mais informações, veja Microsoft Defender para Identidade integração.
Para ativar Microsoft Defender XDR, aceda às Definições a partir do painel de navegação no portal do Microsoft Defender. Este item de navegação só está visível se tiver as permissões e licenças de pré-requisitos.
Um falso positivo é um ficheiro ou URL que é detetado como malicioso, mas não é uma ameaça. Pode criar indicadores e definir exclusões para desbloquear e permitir determinados ficheiros/URLs. Veja Resolver falsos positivos/negativos no Defender para Endpoint.
O conector Microsoft Defender XDR-ServiceNow já não está disponível no portal do Microsoft Defender. No entanto, ainda pode integrar Microsoft Defender XDR com o ServiceNow através da Graph API de Segurança da Microsoft. Para obter mais informações, veja Integrações de soluções de segurança com o Microsoft Graph API de Segurança.
A integração Microsoft Defender XDR-ServiceNow estava anteriormente disponível no portal do Microsoft Defender para pré-visualização e comentários. Esta integração permitiu-lhe criar incidentes do ServiceNow a partir de Microsoft Defender XDR incidentes.
Em alguns casos, um bloqueio de administrador pode causar problemas de submissão quando tenta submeter um ficheiro potencialmente infetado ao site de informações de Segurança da Microsoft para análise. O processo seguinte mostra como resolver este problema.
Abra as definições da aplicação Azure Enterprise. Em Aplicações Empresariais>, os utilizadores podem consentir que as aplicações acedam aos dados da empresa em seu nome, verifique se Sim ou Não está selecionado.
Se Não estiver selecionado, um administrador Microsoft Entra do inquilino do cliente tem de dar consentimento à organização. Consoante a configuração com Microsoft Entra ID, os utilizadores poderão submeter um pedido diretamente a partir da mesma caixa de diálogo. Se não existir nenhuma opção para pedir o consentimento do administrador, os utilizadores terão de pedir que estas permissões sejam adicionadas ao administrador Microsoft Entra. Aceda à secção seguinte para obter mais informações.
Se Sim estiver selecionado, certifique-se de que a definição da aplicação Informações de Segurança do Windows Defender Ativada para os utilizadores iniciarem sessão? está definida como Simno Azure. Se Não estiver selecionado, terá de pedir a um administrador de Microsoft Entra que o ative.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Este processo requer um Administrador Global ou Administrador de Aplicações no inquilino.
Selecione Conceder consentimento do administrador para a organização.
Se conseguir fazê-lo, reveja as permissões de API necessárias para esta aplicação, como mostra a imagem seguinte. Dê consentimento ao inquilino.
Se o administrador receber um erro ao tentar dar consentimento manualmente, experimente a Opção 1 ou a Opção 2 como soluções possíveis.
Microsoft Entra Administradores têm de permitir que os utilizadores peçam consentimento do administrador às aplicações. Verifique se a definição está configurada para Sim em Aplicações empresariais.
Estão disponíveis mais informações em Configurar Administração fluxo de trabalho de consentimento.
Assim que esta definição for verificada, os utilizadores podem aceder ao início de sessão do cliente empresarial nas informações de segurança da Microsoft e submeter um pedido de consentimento do administrador, incluindo justificação.
Os administradores podem rever e aprovar as permissões de aplicação pedidos de consentimento do administrador do Azure.
Depois de dar consentimento, todos os utilizadores no inquilino poderão utilizar a aplicação.
Este processo requer que os Administradores Globais percorram o fluxo de início de sessão do cliente Enterprise nas informações de segurança da Microsoft.
Em seguida, os administradores analisam as permissões e certifiquem-se de que selecionam Consentimento em nome da sua organização e, em seguida, selecionam Aceitar.
Todos os utilizadores no inquilino podem agora utilizar esta aplicação.
Se nenhuma destas opções resolver o problema, experimente os seguintes passos (como administrador):
Remova as configurações anteriores da aplicação. Aceda a Aplicações empresariais e selecione eliminar.
Captura
TenantID
a partir de Propriedades.Substitua pelo
{tenant-id}
inquilino específico que precisa de dar consentimento a esta aplicação no URL abaixo. Copie o seguinte URL para o browser:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Os restantes parâmetros já estão concluídos.
Reveja as permissões exigidas pela aplicação e, em seguida, selecione Aceitar.
Confirme que as permissões foram aplicadas no portal do Azure.
Inicie sessão nas informações de segurança da Microsoft como um utilizador empresarial com uma conta não administrativa para ver se tem acesso.
Se o aviso não for resolvido após seguir estes passos de resolução de problemas, contacte o suporte da Microsoft.
Gorjeta
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.