疑難排解 Microsoft Defender XDR 服務問題
本文解決使用 Microsoft Defender 全面偵測回應 服務時可能發生的問題。 它提供解決方案和因應措施,協助您解決這些問題。 如果您遇到此處未解決的問題,請連絡 Microsoft 支援服務。
如果您在入口網站中看不到 [事件]、[控制中心] 或 [搜捕] 等瀏覽窗格上的功能,則必須確認您的租使用者具有適當的授權。
如需詳細資訊,請參閱必要條件。
如果您已在環境中部署 適用於身分識別的 Microsoft Defender,但未在 Microsoft Defender 全面偵測回應 事件中看到適用於身分識別的 Defender 警示,您必須確定 Microsoft Defender for Cloud Apps已啟用適用於身分識別的 Defender 整合。
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 整合。
若要開啟 Microsoft Defender 全面偵測回應,請從 Microsoft Defender 入口網站的瀏覽窗格存取 [設定]。 只有當您具有 必要條件許可權和授權時,才能看到此導覽專案。
誤判為真是偵測到為惡意但不是威脅的檔案或URL。 您可以建立指標並定義排除專案,以解除封鎖並允許特定檔案/URL。 請參閱解決適用於端點的Defender中的誤判/負面。
Microsoft Defender 入口網站中已不再提供 Microsoft Defender XDR-ServiceNow 連接器。 不過,您仍然可以使用 Microsoft 安全性 圖形 API 來整合 Microsoft Defender 全面偵測回應 與 ServiceNow。 如需詳細資訊,請參閱使用 Microsoft Graph 安全性 API 的安全性解決方案整合。
Microsoft Defender XDR-ServiceNow 整合先前已在 Microsoft Defender 入口網站中提供,以供預覽和意見反應使用。 這項整合可讓您從 Microsoft Defender 全面偵測回應 事件建立 ServiceNow 事件。
在某些情況下,當您嘗試將可能受感染的檔案提交至 Microsoft Security Intelligence 網站 進行分析時,系統管理員區塊可能會造成提交問題。 下列程式示範如何解決此問題。
開啟您的 Azure 企業版應用程式設定。 在 [企業應用程式>使用者可以同意應用程式代表他們存取公司數據] 底下,檢查是否已選取 [是] 或 [否]。
如果選取 [否],客戶租使用者的 Microsoft Entra 系統管理員必須為組織提供同意。 視 Microsoft Entra ID 組態而定,使用者可以直接從相同的對話框提交要求。 如果沒有要求系統管理員同意的選項,用戶必須要求將這些許可權新增至其 Microsoft Entra 系統管理員。如需詳細資訊,請移至下一節。
如果已選取 [是],請確定 [啟用使用者登入? 的 Windows Defender 安全性情報] 應用程式設定已在 Azure 中設定為 [是]。 如果選取 [否],您必須要求 Microsoft Entra 系統管理員啟用它。
重要
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
此程式需要租使用者中的全域管理員或應用程式管理員。
開啟 [企業應用程式設定]。
選 取 [授與組織管理員同意]。
如果您能夠這麼做,請檢閱此應用程式所需的 API 許可權,如下圖所示。 提供租使用者的同意。
Microsoft Entra 系統管理員必須允許使用者要求系統管理員同意應用程式。 確認設定已在企業應用程式中設定為 [是]。
如需詳細資訊,請參閱設定 管理員 同意工作流程。
一旦驗證此設定之後,使用者就可以透過Microsoft 安全情報的企業客戶登入,並提交系統管理員同意要求,包括理由。
系統管理員可以檢閱和核准 Azure 系統管理員同意要求的應用程式許可權。
提供同意之後,租使用者中的所有用戶都能夠使用應用程式。
此程式需要全域系統管理員在 安全性情報Microsoft進行企業客戶登入流程。
然後,系統管理員會檢閱許可權,並務必 代表您的組織選取 [同意],然後選取 [ 接受]。
租使用者中的所有用戶現在都可以使用此應用程式。
如果這些選項都無法解決問題,請 (系統管理員) 嘗試下列步驟:
拿掉應用程式先前的組態。 移至 [企業應用程式 ],然後選取 [刪除]。
從屬性擷取
TenantID
。在下列URL中,將取代
{tenant-id}
為需要同意此應用程式的特定租使用者。 將下列網址 複製到瀏覽器:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
其餘的參數已完成。
檢閱應用程式所需的許可權,然後選取 [ 接受]。
確認許可權已套用在 Azure 入口網站 中。
以具有非系統管理員帳戶的企業使用者身分登入 Microsoft安全性情報 ,以查看您是否有存取權。
如果在遵循這些疑難解答步驟之後未解決警告,請呼叫 Microsoft 支援。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。