閱讀英文

共用方式為


疑難排解 Microsoft Defender XDR 服務問題

本文解決使用 Microsoft Defender 全面偵測回應 服務時可能發生的問題。 它提供解決方案和因應措施,協助您解決這些問題。 如果您遇到此處未解決的問題,請連絡 Microsoft 支援服務

我看不到 Microsoft Defender 全面偵測回應 內容

如果您在入口網站中看不到 [事件]、[控制中心] 或 [搜捕] 等瀏覽窗格上的功能,則必須確認您的租使用者具有適當的授權。

如需詳細資訊,請參閱必要條件

適用於身分識別的 Microsoft Defender 警示未顯示在 Microsoft Defender 全面偵測回應 事件中

如果您已在環境中部署 適用於身分識別的 Microsoft Defender,但未在 Microsoft Defender 全面偵測回應 事件中看到適用於身分識別的 Defender 警示,您必須確定 Microsoft Defender for Cloud Apps已啟用適用於身分識別的 Defender 整合。

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 整合

如何? 開啟 Microsoft Defender 全面偵測回應??

若要開啟 Microsoft Defender 全面偵測回應,請從 Microsoft Defender 入口網站的瀏覽窗格存取 [設定]。 只有當您具有 必要條件許可權和授權時,才能看到此導覽專案。

如何? 為我的檔案/URL 建立例外狀況嗎?

誤判為真是偵測到為惡意但不是威脅的檔案或URL。 您可以建立指標並定義排除專案,以解除封鎖並允許特定檔案/URL。 請參閱解決適用於端點的Defender中的誤判/負面。

如何將 ServiceNow 票證整合到 Microsoft Defender 入口網站?

Microsoft Defender 入口網站中已不再提供 Microsoft Defender XDR-ServiceNow 連接器。 不過,您仍然可以使用 Microsoft 安全性 圖形 API 來整合 Microsoft Defender 全面偵測回應 與 ServiceNow。 如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 的安全性解決方案整合

Microsoft Defender XDR-ServiceNow 整合先前已在 Microsoft Defender 入口網站中提供,以供預覽和意見反應使用。 這項整合可讓您從 Microsoft Defender 全面偵測回應 事件建立 ServiceNow 事件。

為什麼我無法提交檔案?

在某些情況下,當您嘗試將可能受感染的檔案提交至 Microsoft Security Intelligence 網站 進行分析時,系統管理員區塊可能會造成提交問題。 下列程式示範如何解決此問題。

檢閱您的設定

開啟您的 Azure 企業版應用程式設定。 在 [企業應用程式>使用者可以同意應用程式代表他們存取公司數據] 底下,檢查是否已選取 [是] 或 [否]。

  • 如果選取 [否],客戶租使用者的 Microsoft Entra 系統管理員必須為組織提供同意。 視 Microsoft Entra ID 組態而定,使用者可以直接從相同的對話框提交要求。 如果沒有要求系統管理員同意的選項,用戶必須要求將這些許可權新增至其 Microsoft Entra 系統管理員。如需詳細資訊,請移至下一節。

  • 如果已選取 [],請確定 [啟用使用者登入? 的 Windows Defender 安全性情報] 應用程式設定已在 Azure 中設定為 []。 如果選取 [否],您必須要求 Microsoft Entra 系統管理員啟用它。

實作必要的企業應用程式許可權

重要

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

此程式需要租使用者中的全域管理員或應用程式管理員。

  1. 開啟 [企業應用程式設定]

  2. 取 [授與組織管理員同意]

  3. 如果您能夠這麼做,請檢閱此應用程式所需的 API 許可權,如下圖所示。 提供租使用者的同意。

    授與同意影像。

  4. 如果系統管理員在嘗試手動提供同意時收到錯誤,請儘可能嘗試 選項 1選項 2 的因應措施。

選項 1:依使用者要求核准企業應用程式許可權

Microsoft Entra 系統管理員必須允許使用者要求系統管理員同意應用程式。 確認設定已在企業應用程式中設定為 [是]。

企業應用程式用戶設定。

如需詳細資訊,請參閱設定 管理員 同意工作流程

一旦驗證此設定之後,使用者就可以透過Microsoft 安全情報的企業客戶登入,並提交系統管理員同意要求,包括理由。

Contoso 登入流程。

系統管理員可以檢閱和核准 Azure 系統管理員同意要求的應用程式許可權

提供同意之後,租使用者中的所有用戶都能夠使用應用程式。

此程式需要全域系統管理員在 安全性情報Microsoft進行企業客戶登入流程。

同意登入流程。

然後,系統管理員會檢閱許可權,並務必 代表您的組織選取 [同意],然後選取 [ 接受]

租使用者中的所有用戶現在都可以使用此應用程式。

選項3:刪除和讀取應用程式許可權

如果這些選項都無法解決問題,請 (系統管理員) 嘗試下列步驟:

  1. 拿掉應用程式先前的組態。 移至 [企業應用程式 ],然後選取 [刪除]

    刪除應用程式許可權。

  2. 屬性擷取TenantID

  3. 在下列URL中,將取代 {tenant-id} 為需要同意此應用程式的特定租使用者。 將下列網址 複製到瀏覽器: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    其餘的參數已完成。

    需要許可權。

  4. 檢閱應用程式所需的許可權,然後選取 [ 接受]

  5. 確認許可權已套用在 Azure 入口網站 中。

    檢閱已套用許可權。

  6. 以具有非系統管理員帳戶的企業使用者身分登入 Microsoft安全性情報 ,以查看您是否有存取權。

如果在遵循這些疑難解答步驟之後未解決警告,請呼叫 Microsoft 支援。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群