Läs på engelska

Dela via


Felsöka problem med Microsoft Defender XDR-tjänsten

Den här artikeln tar upp problem som kan uppstå när du använder Microsoft Defender XDR-tjänsten. Den innehåller lösningar och lösningar som hjälper dig att lösa dessa problem. Om du stöter på ett problem som inte åtgärdas här kontaktar du Microsoft Support.

Jag ser inte Microsoft Defender XDR innehåll

Om du inte ser funktioner i navigeringsfönstret, till exempel Incidenter, Åtgärdscenter eller Jakt i portalen, måste du kontrollera att din klientorganisation har rätt licenser.

Mer information finns i Krav.

Microsoft Defender for Identity aviseringar visas inte i Microsoft Defender XDR incidenter

Om du har Microsoft Defender for Identity distribuerats i din miljö men inte ser Defender for Identity-aviseringar som en del av Microsoft Defender XDR incidenter måste du se till att Microsoft Defender for Cloud Apps och Defender för identitetsintegrering är aktiverat.

Mer information finns i Microsoft Defender for Identity integration.

Hur gör jag för att aktivera Microsoft Defender XDR?

Om du vill aktivera Microsoft Defender XDR öppnar du Inställningar från navigeringsfönstret i Microsoft Defender-portalen. Det här navigeringsobjektet visas bara om du har nödvändiga behörigheter och licenser.

Hur gör jag för att skapa ett undantag för min fil/URL?

En falsk positiv identifiering är en fil eller URL som identifieras som skadlig men inte är ett hot. Du kan skapa indikatorer och definiera undantag för att avblockera och tillåta vissa filer/URL:er. Se Adressera falska positiva/negativa identifieringar i Defender för Endpoint.

Hur kan jag integrera ServiceNow-biljetter i Microsoft Defender-portalen?

Anslutningsappen Microsoft Defender XDR-ServiceNow är inte längre tillgänglig i Microsoft Defender-portalen. Du kan dock fortfarande integrera Microsoft Defender XDR med ServiceNow med hjälp av Microsoft Security Graph API. Mer information finns i Integrering av säkerhetslösningar med hjälp av Microsoft Graph-API för säkerhet.

Integreringen av Microsoft Defender XDR-ServiceNow var tidigare tillgänglig i Microsoft Defender-portalen för förhandsversion och feedback. Med den här integreringen kan du skapa ServiceNow-incidenter från Microsoft Defender XDR incidenter.

Varför kan jag inte skicka filer?

I vissa fall kan ett administratörsblock orsaka insändningsproblem när du försöker skicka en potentiellt infekterad fil till webbplatsen för Microsoft Security Intelligence för analys. Följande process visar hur du löser problemet.

Granska inställningarna

Öppna dina Azure Enterprise-programinställningar. Under Företagsprogram>kan användare godkänna att appar får åtkomst till företagsdata för deras räkning och kontrollera om Ja eller Nej har valts.

  • Om Nej har valts måste en Microsoft Entra administratör för kundens klientorganisation ge sitt medgivande till organisationen. Beroende på konfigurationen med Microsoft Entra ID kan användarna kanske skicka en begäran direkt från samma dialogruta. Om det inte finns något alternativ för att be om administratörsmedgivande måste användarna begära att dessa behörigheter läggs till i deras Microsoft Entra administratör. Gå till följande avsnitt för mer information.

  • Om Ja har valts kontrollerar du att appinställningen För Windows Defender Security Intelligence Aktiverad för användare att logga in? är inställd på Jai Azure. Om Nej har valts måste du begära att en Microsoft Entra administratör aktiverar det.

Implementera nödvändiga behörigheter för företagsprogram

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Den här processen kräver en global administratör eller programadministratör i klientorganisationen.

  1. Öppna Inställningar för företagsprogram.

  2. Välj Bevilja administratörsmedgivande för organisationen.

  3. Om du kan göra det granskar du de API-behörigheter som krävs för det här programmet, som följande bild visar. Ge medgivande till klientorganisationen.

    bild av bevilja medgivande.

  4. Om administratören får ett fel när han eller hon försöker ge sitt medgivande manuellt kan du prova alternativ 1 eller alternativ 2 som möjliga lösningar.

Alternativ 1: Godkänn behörigheter för företagsprogram efter användarbegäran

Microsoft Entra administratörer måste tillåta användare att begära administratörsmedgivande till appar. Kontrollera att inställningen är inställd på Ja i Företagsprogram.

Användarinställningar för företagsprogram.

Mer information finns i Konfigurera Admin arbetsflöde för medgivande.

När den här inställningen har verifierats kan användarna gå igenom företagskundens inloggning på Microsoft Security Intelligence och skicka en begäran om administratörsmedgivande, inklusive motivering.

Contosos inloggningsflöde.

Administratörer kan granska och godkänna begäranden om azure-administratörsmedgivande för programbehörigheter.

När du har gett medgivande kommer alla användare i klientorganisationen att kunna använda programmet.

Den här processen kräver att globala administratörer går igenom enterprise-kundens inloggningsflöde på Microsofts säkerhetsinformation.

Inloggningsflöde för medgivande.

Sedan granskar administratörer behörigheterna och ser till att välja Medgivande för din organisations räkning och väljer sedan Acceptera.

Alla användare i klientorganisationen kan nu använda det här programmet.

Alternativ 3: Ta bort och läsa appbehörigheter

Om inget av dessa alternativ löser problemet kan du prova följande steg (som administratör):

  1. Ta bort tidigare konfigurationer för programmet. Gå till Företagsprogram och välj Ta bort.

    Ta bort appbehörigheter.

  2. Avbilda TenantID från egenskaper.

  3. Ersätt {tenant-id} med den specifika klientorganisation som behöver bevilja medgivande till det här programmet i URL:en nedan. Kopiera följande URL till webbläsaren: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Resten av parametrarna har redan slutförts.

    Behörigheter som krävs.

  4. Granska de behörigheter som krävs av programmet och välj sedan Acceptera.

  5. Bekräfta att behörigheterna tillämpas i Azure Portal.

    Granska att behörigheter tillämpas.

  6. Logga in på Microsoft Security Intelligence som en företagsanvändare med ett konto som inte är administratör för att se om du har åtkomst.

Om varningen inte har lösts efter att du har följt de här felsökningsstegen kan du kontakta Microsoft Support.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.