Устранение неполадок службы Microsoft Defender XDR
В этой статье рассматриваются проблемы, которые могут возникнуть при использовании службы Microsoft Defender XDR. Он предоставляет решения и обходные пути, которые помогут вам устранить эти проблемы. Если вы столкнулись с проблемой, которая не устранена здесь, обратитесь к служба поддержки Майкрософт.
Если на портале не отображаются такие возможности, как инциденты, центр уведомлений или охота, необходимо убедиться, что у вашего клиента есть соответствующие лицензии.
Дополнительные сведения см. в разделе Предварительные требования.
Если вы Microsoft Defender для удостоверений развернуты в своей среде, но не видите оповещения Defender для удостоверений в рамках Microsoft Defender XDR инцидентов, необходимо убедиться, что Microsoft Defender for Cloud Apps включена интеграция Defender для удостоверений.
Дополнительные сведения см. в разделе интеграция Microsoft Defender для удостоверений.
Чтобы включить Microsoft Defender XDR, перейдите в раздел Параметры из области навигации на портале Microsoft Defender. Этот элемент навигации отображается только при наличии необходимых разрешений и лицензий.
Ложноположительным результатом является файл или URL-адрес, который обнаруживается как вредоносный, но не представляет угрозы. Вы можете создавать индикаторы и определять исключения, чтобы разблокировать и разрешить определенные файлы или URL-адреса. См. раздел Устранение ложноположительных и отрицательных результатов в Defender для конечной точки.
Соединитель Microsoft Defender XDR-ServiceNow больше недоступен на портале Microsoft Defender. Однако вы по-прежнему можете интегрировать Microsoft Defender XDR с ServiceNow с помощью API Graph безопасности Майкрософт. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.
Интеграция Microsoft Defender XDR-ServiceNow ранее была доступна на портале Microsoft Defender для предварительной версии и отзывов. Эта интеграция позволила создавать инциденты ServiceNow из Microsoft Defender XDR инцидентов.
В некоторых случаях блок администратора может вызвать проблемы с отправкой при попытке отправить потенциально зараженный файл на веб-сайт Аналитики безопасности Майкрософт для анализа. В следующем процессе показано, как устранить эту проблему.
Откройте параметры приложения Azure Enterprise. В разделе Корпоративные приложения>пользователи могут давать согласие на доступ к приложениям, которые от их имени получают доступ к данным компании, проверка, выбран ли параметр Да или Нет.
Если выбран параметр Нет, администратор Microsoft Entra клиента должен предоставить согласие для организации. В зависимости от конфигурации с Microsoft Entra ID пользователи могут отправлять запросы прямо из того же диалогового окна. Если нет возможности запросить согласие администратора, пользователи должны запросить эти разрешения для добавления в Microsoft Entra администратора. Дополнительные сведения см. в следующем разделе.
Если выбран параметр Да , убедитесь, что для параметра Приложение аналитики безопасности Защитника Windows включено для входа пользователей? установлено значение Дав Azure. Если выбран параметр Нет, необходимо запросить Microsoft Entra администратора включить его.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Для этого процесса требуется глобальный администратор или администратор приложений в клиенте.
Откройте параметры корпоративного приложения.
Выберите Предоставить согласие администратора для организации.
Если вы можете это сделать, просмотрите разрешения API, необходимые для этого приложения, как показано на следующем рисунке. Предоставьте согласие для клиента.
Если администратор получает ошибку при попытке предоставить согласие вручную, попробуйте вариант 1 или вариант 2 в качестве возможных обходных решений.
Microsoft Entra администраторам необходимо разрешить пользователям запрашивать согласие администратора для приложений. Убедитесь, что для параметра настроено значение Да в корпоративных приложениях.
Дополнительные сведения см. в разделе Настройка рабочего процесса согласия Администратор.
После проверки этого параметра пользователи могут пройти корпоративный вход клиента в службу аналитики безопасности Майкрософт и отправить запрос на согласие администратора, включая обоснование.
Администраторы могут просматривать и утверждать разрешения приложений , запросы на согласие администратора Azure.
После предоставления согласия все пользователи в клиенте смогут использовать приложение.
Вариант 2. Предоставление согласия администратора путем проверки подлинности приложения в качестве администратора
Этот процесс требует, чтобы глобальные администраторы прошли поток входа корпоративных клиентов в аналитику безопасности Майкрософт.
Затем администраторы просмотрите разрешения и убедитесь, что выберите Согласие от имени вашей организации, а затем выберите Принять.
Теперь все пользователи в клиенте могут использовать это приложение.
Если ни один из этих вариантов не решит проблему, попробуйте выполнить следующие действия (в качестве администратора):
Удалите предыдущие конфигурации для приложения. Перейдите в раздел Корпоративные приложения и выберите удалить.
Запись
TenantID
из свойств.Замените
{tenant-id}
конкретным клиентом, которому необходимо предоставить согласие для этого приложения в URL-адресе ниже. Скопируйте следующий URL-адрес в браузер:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Остальные параметры уже завершены.
Просмотрите разрешения, необходимые приложению, и нажмите кнопку Принять.
Убедитесь, что разрешения применяются в портал Azure.
Войдите в службу аналитики безопасности Майкрософт в качестве корпоративного пользователя с учетной записью, не являющейся администратором, чтобы узнать, есть ли у вас доступ.
Если предупреждение не устранено после выполнения этих действий по устранению неполадок, обратитесь в службу поддержки Майкрософт.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.