本指南專供 IT 專業人員、資訊安全性分析師和雲端系統管理員參考,其組織的適用於雲端的 Microsoft Defender 相關問題需要進行疑難排解。
提示
當您遇到問題或是需要支援小組的建議時,可以前往 Azure 入口網站的診斷並解決問題區段尋找解決方案。
使用稽核記錄來調查問題
尋找疑難排解資訊的第一站是失敗元件的稽核記錄。 在稽核記錄中,您可以看到下列詳細資料:
- 已執行的作業。
- 起始作業的人員。
- 發生作業的時間。
- 作業的狀態。
稽核記錄包含在您的資源上執行的所有寫入作業 (PUT、POST、DELETE),但不包含讀取作業 (GET)。
針對不當運作的反惡意程式碼軟體保護進行疑難排解
客體代理程式是 Microsoft Antimalware 延伸模組所做一切的父處理序。 當客體代理程式處理序失敗時,作為客體代理程式子處理序執行的 Microsoft Antimalware 保護可能也會失敗。
以下是一些疑難排解提示:
- 如果目標 VM 是以自訂映像所建立,請確保 VM 的建立者已安裝客體代理程式。
- 如果目標是 Linux VM,則安裝 Windows 版的反惡意程式碼軟體延伸模組將會失敗。 Linux 客體代理程式具有特定的 OS 和封裝需求。
- 如果 VM 是以舊版客體代理程式所建立,舊版代理程式可能無法自動更新為較新版本。 當您在建立自己的映像時,請一律使用最新版的客體代理程式。
- 某些第三方系統管理軟體可能會停用客體代理程式,或封鎖特定檔案位置的存取。 如果您的 VM 上有安裝第三方管理軟體,請確定反惡意程式碼軟體代理程式位於排除清單上。
- 請確定防火牆設定和網路安全性群組沒有封鎖客體代理程式輸入與輸出的網路流量。
- 請確定沒有存取控制清單會防止磁碟存取。
- 客體代理程式需要有足夠的磁碟空間才能正常運作。
根據預設,Microsoft Antimalware 使用者介面已停用。 但是您可以在 Azure Resource Manager VM 上啟用 Microsoft Antimalware 使用者介面。
針對載入儀表板的問題進行疑難排解
如果您在載入工作負載保護儀表板時遇到問題,請確定使用者先在訂用帳戶上啟用適用於雲端的 Defender,而且想要開啟資料收集的使用者在訂用帳戶上具有「擁有者」或「參與者」角色。 如果是這種情況,則訂用帳戶上具有「讀取者」角色的使用者可以看到儀表板、警示、建議和原則。
針對 Azure DevOps 組織的連接器問題進行疑難排解
如果您無法將 Azure DevOps 組織上線,請嘗試下列疑難排解提示:
請確定您使用 Azure 入口網站的非預覽版本;授權步驟無法在 Azure 預覽入口網站中運作。
請務必知道您在授權存取時登入的帳戶,因為這將會是系統用於上線的帳戶。 您的帳戶不僅可能與相同的電子郵件地址建立關聯,也可能與不同的租用戶建立關聯。 請確定您選取正確的帳戶/租用戶組合。 如果您需要變更組合:
在 Azure DevOps 設定檔頁面上,使用下拉式功能表以選取另一個帳戶。
選取正確的帳戶/租用戶組合之後,請移至適用於雲端的 Defender 中的 [環境設定],然後編輯您的 Azure DevOps 連接器。 重新授權連接器,以正確的帳戶/租用戶組合加以更新。 然後,您應該會在下拉式功能表中看到正確的組織清單。
請確定您在想要上線的 Azure DevOps 組織中具有「專案集合管理員」角色。
請確定 Azure DevOps 組織的 [透過 OAuth 進行第三方應用程式存取] 切換為 [開啟]。 深入了解如何啟用 OAuth 存取。
連絡 Microsoft 支援服務
您也可以在適用於雲端的 Defender Q&A 頁面找到適用於雲端的 Defender 疑難排解資訊。
如果您需要更多協助,您可以在 Azure 入口網站上開啟新的支援要求。 在 [說明 + 支援] 頁面上,選取 [建立支援要求]。
另請參閱
- 深入了解如何在適用於雲端的 Defender 中管理及回應安全性警示。
- 了解在適用於雲端的 Defender 中的警示驗證。
- 檢閱有關使用適用於雲端的 Defender 的常見問題。