Прочитать на английском

Поделиться через


Устранение неполадок службы Microsoft Defender XDR

В этой статье рассматриваются проблемы, которые могут возникнуть при использовании службы Microsoft Defender XDR. Он предоставляет решения и обходные пути, которые помогут вам устранить эти проблемы. Если вы столкнулись с проблемой, которая не устранена здесь, обратитесь к служба поддержки Майкрософт.

Содержимое Microsoft Defender XDR не отображается

Если на портале не отображаются такие возможности, как инциденты, центр уведомлений или охота, необходимо убедиться, что у вашего клиента есть соответствующие лицензии.

Дополнительные сведения см. в разделе Предварительные требования.

Microsoft Defender для удостоверений оповещения не отображаются в инцидентах Microsoft Defender XDR

Если вы Microsoft Defender для удостоверений развернуты в своей среде, но не видите оповещения Defender для удостоверений в рамках Microsoft Defender XDR инцидентов, необходимо убедиться, что Microsoft Defender for Cloud Apps включена интеграция Defender для удостоверений.

Дополнительные сведения см. в разделе интеграция Microsoft Defender для удостоверений.

Разделы справки включить Microsoft Defender XDR??

Чтобы включить Microsoft Defender XDR, перейдите в раздел Параметры из области навигации на портале Microsoft Defender. Этот элемент навигации отображается только при наличии необходимых разрешений и лицензий.

Разделы справки создать исключение для моего файла или URL-адреса?

Ложноположительным результатом является файл или URL-адрес, который обнаруживается как вредоносный, но не представляет угрозы. Вы можете создавать индикаторы и определять исключения, чтобы разблокировать и разрешить определенные файлы или URL-адреса. См. раздел Устранение ложноположительных и отрицательных результатов в Defender для конечной точки.

Как интегрировать билеты ServiceNow в портал Microsoft Defender?

Соединитель Microsoft Defender XDR-ServiceNow больше недоступен на портале Microsoft Defender. Однако вы по-прежнему можете интегрировать Microsoft Defender XDR с ServiceNow с помощью API Graph безопасности Майкрософт. Дополнительные сведения см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.

Интеграция Microsoft Defender XDR-ServiceNow ранее была доступна на портале Microsoft Defender для предварительной версии и отзывов. Эта интеграция позволила создавать инциденты ServiceNow из Microsoft Defender XDR инцидентов.

Почему не удается отправить файлы?

В некоторых случаях блок администратора может вызвать проблемы с отправкой при попытке отправить потенциально зараженный файл на веб-сайт Аналитики безопасности Майкрософт для анализа. В следующем процессе показано, как устранить эту проблему.

Проверка параметров

Откройте параметры приложения Azure Enterprise. В разделе Корпоративные приложения>пользователи могут давать согласие на доступ к приложениям, которые от их имени получают доступ к данным компании, проверка, выбран ли параметр Да или Нет.

  • Если выбран параметр Нет, администратор Microsoft Entra клиента должен предоставить согласие для организации. В зависимости от конфигурации с Microsoft Entra ID пользователи могут отправлять запросы прямо из того же диалогового окна. Если нет возможности запросить согласие администратора, пользователи должны запросить эти разрешения для добавления в Microsoft Entra администратора. Дополнительные сведения см. в следующем разделе.

  • Если выбран параметр Да , убедитесь, что для параметра Приложение аналитики безопасности Защитника Windows включено для входа пользователей? установлено значение Дав Azure. Если выбран параметр Нет, необходимо запросить Microsoft Entra администратора включить его.

Реализация необходимых разрешений корпоративного приложения

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Для этого процесса требуется глобальный администратор или администратор приложений в клиенте.

  1. Откройте параметры корпоративного приложения.

  2. Выберите Предоставить согласие администратора для организации.

  3. Если вы можете это сделать, просмотрите разрешения API, необходимые для этого приложения, как показано на следующем рисунке. Предоставьте согласие для клиента.

    изображение предоставления согласия.

  4. Если администратор получает ошибку при попытке предоставить согласие вручную, попробуйте вариант 1 или вариант 2 в качестве возможных обходных решений.

Вариант 1. Утверждение разрешений корпоративного приложения по запросу пользователя

Microsoft Entra администраторам необходимо разрешить пользователям запрашивать согласие администратора для приложений. Убедитесь, что для параметра настроено значение Да в корпоративных приложениях.

Параметры пользователя корпоративных приложений.

Дополнительные сведения см. в разделе Настройка рабочего процесса согласия Администратор.

После проверки этого параметра пользователи могут пройти корпоративный вход клиента в службу аналитики безопасности Майкрософт и отправить запрос на согласие администратора, включая обоснование.

Поток входа в Contoso.

Администраторы могут просматривать и утверждать разрешения приложений , запросы на согласие администратора Azure.

После предоставления согласия все пользователи в клиенте смогут использовать приложение.

Этот процесс требует, чтобы глобальные администраторы прошли поток входа корпоративных клиентов в аналитику безопасности Майкрософт.

Поток входа в систему согласия.

Затем администраторы просмотрите разрешения и убедитесь, что выберите Согласие от имени вашей организации, а затем выберите Принять.

Теперь все пользователи в клиенте могут использовать это приложение.

Вариант 3. Удаление и чтение разрешений приложения

Если ни один из этих вариантов не решит проблему, попробуйте выполнить следующие действия (в качестве администратора):

  1. Удалите предыдущие конфигурации для приложения. Перейдите в раздел Корпоративные приложения и выберите удалить.

    Удаление разрешений приложения.

  2. Запись TenantID из свойств.

  3. Замените {tenant-id} конкретным клиентом, которому необходимо предоставить согласие для этого приложения в URL-адресе ниже. Скопируйте следующий URL-адрес в браузер: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Остальные параметры уже завершены.

    Необходимые разрешения.

  4. Просмотрите разрешения, необходимые приложению, и нажмите кнопку Принять.

  5. Убедитесь, что разрешения применяются в портал Azure.

    Проверьте, применяются ли разрешения.

  6. Войдите в службу аналитики безопасности Майкрософт в качестве корпоративного пользователя с учетной записью, не являющейся администратором, чтобы узнать, есть ли у вас доступ.

Если предупреждение не устранено после выполнения этих действий по устранению неполадок, обратитесь в службу поддержки Майкрософт.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.