Felsöka problem med Microsoft Defender XDR-tjänsten
Den här artikeln tar upp problem som kan uppstå när du använder Microsoft Defender XDR-tjänsten. Den innehåller lösningar och lösningar som hjälper dig att lösa dessa problem. Om du stöter på ett problem som inte åtgärdas här kontaktar du Microsoft Support.
Om du inte ser funktioner i navigeringsfönstret, till exempel Incidenter, Åtgärdscenter eller Jakt i portalen, måste du kontrollera att din klientorganisation har rätt licenser.
Mer information finns i Krav.
Om du har Microsoft Defender for Identity distribuerats i din miljö men inte ser Defender for Identity-aviseringar som en del av Microsoft Defender XDR incidenter måste du se till att Microsoft Defender for Cloud Apps och Defender för identitetsintegrering är aktiverat.
Mer information finns i Microsoft Defender for Identity integration.
Om du vill aktivera Microsoft Defender XDR öppnar du Inställningar från navigeringsfönstret i Microsoft Defender-portalen. Det här navigeringsobjektet visas bara om du har nödvändiga behörigheter och licenser.
En falsk positiv identifiering är en fil eller URL som identifieras som skadlig men inte är ett hot. Du kan skapa indikatorer och definiera undantag för att avblockera och tillåta vissa filer/URL:er. Se Adressera falska positiva/negativa identifieringar i Defender för Endpoint.
Anslutningsappen Microsoft Defender XDR-ServiceNow är inte längre tillgänglig i Microsoft Defender-portalen. Du kan dock fortfarande integrera Microsoft Defender XDR med ServiceNow med hjälp av Microsoft Security Graph API. Mer information finns i Integrering av säkerhetslösningar med hjälp av Microsoft Graph-API för säkerhet.
Integreringen av Microsoft Defender XDR-ServiceNow var tidigare tillgänglig i Microsoft Defender-portalen för förhandsversion och feedback. Med den här integreringen kan du skapa ServiceNow-incidenter från Microsoft Defender XDR incidenter.
I vissa fall kan ett administratörsblock orsaka insändningsproblem när du försöker skicka en potentiellt infekterad fil till webbplatsen för Microsoft Security Intelligence för analys. Följande process visar hur du löser problemet.
Öppna dina Azure Enterprise-programinställningar. Under Företagsprogram>kan användare godkänna att appar får åtkomst till företagsdata för deras räkning och kontrollera om Ja eller Nej har valts.
Om Nej har valts måste en Microsoft Entra administratör för kundens klientorganisation ge sitt medgivande till organisationen. Beroende på konfigurationen med Microsoft Entra ID kan användarna kanske skicka en begäran direkt från samma dialogruta. Om det inte finns något alternativ för att be om administratörsmedgivande måste användarna begära att dessa behörigheter läggs till i deras Microsoft Entra administratör. Gå till följande avsnitt för mer information.
Om Ja har valts kontrollerar du att appinställningen För Windows Defender Security Intelligence Aktiverad för användare att logga in? är inställd på Jai Azure. Om Nej har valts måste du begära att en Microsoft Entra administratör aktiverar det.
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Den här processen kräver en global administratör eller programadministratör i klientorganisationen.
Välj Bevilja administratörsmedgivande för organisationen.
Om du kan göra det granskar du de API-behörigheter som krävs för det här programmet, som följande bild visar. Ge medgivande till klientorganisationen.
Om administratören får ett fel när han eller hon försöker ge sitt medgivande manuellt kan du prova alternativ 1 eller alternativ 2 som möjliga lösningar.
Microsoft Entra administratörer måste tillåta användare att begära administratörsmedgivande till appar. Kontrollera att inställningen är inställd på Ja i Företagsprogram.
Mer information finns i Konfigurera Admin arbetsflöde för medgivande.
När den här inställningen har verifierats kan användarna gå igenom företagskundens inloggning på Microsoft Security Intelligence och skicka en begäran om administratörsmedgivande, inklusive motivering.
Administratörer kan granska och godkänna begäranden om azure-administratörsmedgivande för programbehörigheter.
När du har gett medgivande kommer alla användare i klientorganisationen att kunna använda programmet.
Den här processen kräver att globala administratörer går igenom enterprise-kundens inloggningsflöde på Microsofts säkerhetsinformation.
Sedan granskar administratörer behörigheterna och ser till att välja Medgivande för din organisations räkning och väljer sedan Acceptera.
Alla användare i klientorganisationen kan nu använda det här programmet.
Om inget av dessa alternativ löser problemet kan du prova följande steg (som administratör):
Ta bort tidigare konfigurationer för programmet. Gå till Företagsprogram och välj Ta bort.
Avbilda
TenantID
från egenskaper.Ersätt
{tenant-id}
med den specifika klientorganisation som behöver bevilja medgivande till det här programmet i URL:en nedan. Kopiera följande URL till webbläsaren:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Resten av parametrarna har redan slutförts.
Granska de behörigheter som krävs av programmet och välj sedan Acceptera.
Bekräfta att behörigheterna tillämpas i Azure Portal.
Logga in på Microsoft Security Intelligence som en företagsanvändare med ett konto som inte är administratör för att se om du har åtkomst.
Om varningen inte har lösts efter att du har följt de här felsökningsstegen kan du kontakta Microsoft Support.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.