共用方式為

疑難排解 Microsoft Defender XDR 服務問題

  • 適用於: Microsoft Defender XDR

本文將討論使用 Microsoft Defender 全面偵測回應服務時可能出現的問題。 它提供解決方案和變通方法,幫助你解決這些問題。 如果你遇到這裡沒處理的問題,請聯絡 Microsoft 支援服務

我沒看到 Microsoft Defender 全面偵測回應的內容

如果您在導覽窗格中找不到像事件、行動中心或狩獵這些功能,您需要確認租戶擁有適當的授權。

如需詳細資訊,請參閱必要條件

適用於身分識別的 Microsoft Defender警報並未出現在Microsoft Defender 全面偵測回應事件中

如果你在環境中部署了 適用於身分識別的 Microsoft Defender,但 Defender for Identity 警示未在Microsoft Defender 全面偵測回應事件中出現,你需要確保 Microsoft Defender for Cloud Apps並且啟用了 Defender for Identity 整合。

欲了解更多資訊,請參閱 Microsoft Defender for Identity 適用於身分識別的 Microsoft Defender 整合

我的合法檔案/網址被偵測為惡意

誤報是指檔案或網址被偵測為惡意,但並非威脅。 你可以建立指示器並定義排除選項,以解除封鎖並允許某些檔案或網址。 請參閱 Defender for Endpoint 中的誤判/誤報處理。

我的 ServiceNow 工單已不再在 Microsoft Defender 入口網站中提供

Microsoft Defender XDR-ServiceNow連接器已不再在Microsoft Defender入口中提供。 不過,你仍然可以透過使用 Microsoft Security 圖形 API 將 Microsoft Defender 全面偵測回應 ServiceNow 整合。 欲了解更多資訊,請參閱使用 Microsoft Graph 安全性 API 的安全解決方案整合

Microsoft Defender XDR-ServiceNow整合先前可在Microsoft Defender入口網站預覽與回饋。 此整合讓你能從 Microsoft Defender 全面偵測回應事件中建立 ServiceNow 事件。

我無法提交檔案

在某些情況下,管理員封鎖可能導致提交問題,當你嘗試將可能感染的檔案提交到 Microsoft Security intelligence 網站 進行分析時。 以程說明如何解決此問題。

檢閱您的設定

打開你的 Azure Enterprise 應用程式設定。 在 企業應用程式中,>使用者可以同意應用程式代為存取公司資料,請檢查是否選擇了「是」或「否」。

  • 若選擇「否」,則需由 Microsoft Entra 管理員為該機構提供同意。 根據 Microsoft Entra ID 的設定,使用者可能能直接從同一對話框提交請求。 如果沒有請求管理員同意的選項,使用者需要申請將這些權限加入他們的 Microsoft Entra 管理員。請前往以下章節了解更多資訊。

  • 如果選擇了「是」,請確保 Windows Defender 安全智慧應用程式的設定「啟用使用者登入?」Azure 中已設為「是」。 如果選擇「否」,你需要申請 Microsoft Entra 管理員啟用它。

實作所需的企業應用程式權限

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

此流程需要租戶中有全域管理員或應用程式管理員。

  1. 開啟 企業應用程式設定

  2. 選擇組織 的授權管理員同意

  3. 如果你能做到,請檢視此應用程式所需的 API 權限,如下圖所示。 提供租客同意。

    授權同意圖片。

  4. 若管理員在手動提供同意時收到錯誤,請嘗試 選項1選項2 作為可能的變通方法。

選項一:依使用者請求批准企業應用程式權限

Microsoft Entra 管理員需要允許使用者申請應用程式的管理員同意。 確認企業應用程式中的設定是否設定為「是」。

企業應用程式的使用者設定。

更多資訊請參閱「配置管理員同意工作流程」。

一旦此設定驗證,使用者即可透過 Microsoft 安全智慧的企業客戶登入程序,提交管理員同意申請,包括說明說明。

Contoso 登入流程。

管理員可以審查並核准 Azure 管理員同意請求的應用程式權限。

在提供同意後,租戶中的所有使用者都能使用該應用程式。

此流程要求全球管理員通過 Microsoft 安全智慧部門的企業客戶登入流程。

同意簽署流程。

接著,管理員會檢視權限,並確保代表 組織選擇同意,然後選擇 接受

租戶中的所有使用者現在都能使用這個應用程式。

選項三:刪除並重新新增應用程式權限

如果以上方法都無法解決問題,請以管理員) (嘗試以下步驟:

  1. 移除應用程式中先前的設定。 到 企業應用程式 並選擇 刪除

    刪除應用程式的權限。

  2. 物業擷取TenantID

  3. 請在下方網址中替換 {tenant-id} 為需要授權此應用程式的特定租戶。 將以下網址複製到瀏覽器: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    其他參數都已經完成了。

    需要授權。

  4. 檢視應用程式所需的權限,然後選擇 接受

  5. 確認權限已套用在 Azure 入口網站

    請檢視是否已套用權限。

  6. 以非管理員帳號的企業用戶身份登入 Microsoft 安全智慧 ,看看你是否有權限。

如果依照這些故障排除步驟仍未解決警告,請致電 Microsoft 客服。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on