Condividi tramite

Risolvere i problemi del servizio di Microsoft Defender XDR

  • Si applica a: Microsoft Defender XDR

Questo articolo risolve i problemi che potrebbero verificarsi quando si usa il servizio Microsoft Defender XDR. Fornisce soluzioni e soluzioni alternative per risolvere questi problemi. Se si verifica un problema non risolto qui, contattare supporto tecnico Microsoft.

I don't see Microsoft Defender XDR content

Se nel riquadro di spostamento non vengono visualizzate funzionalità come Eventi imprevisti, Centro notifiche o Ricerca nel portale, è necessario verificare che il tenant disponga delle licenze appropriate.

Per altre informazioni, vedere Prerequisiti.

Microsoft Defender per identità gli avvisi non vengono visualizzati negli eventi imprevisti Microsoft Defender XDR

Se è Microsoft Defender per identità distribuito nell'ambiente, ma non vengono visualizzati avvisi di Defender per identità come parte di eventi imprevisti Microsoft Defender XDR, è necessario assicurarsi che il Microsoft Defender for Cloud Apps e l'integrazione di Defender per identità è abilitata.

Per altre informazioni, vedere integrazione Microsoft Defender per identità.

Il file/URL legittimo viene rilevato come dannoso

Un falso positivo è un file o un URL rilevato come dannoso ma non è una minaccia. È possibile creare indicatori e definire esclusioni per sbloccare e consentire determinati file/URL. Vedere Indirizzo di falsi positivi/negativi in Defender per endpoint.

I ticket di ServiceNow non sono più disponibili nel portale di Microsoft Defender

Il connettore Microsoft Defender XDR-ServiceNow non è più disponibile nel portale di Microsoft Defender. Tuttavia, è comunque possibile integrare Microsoft Defender XDR con ServiceNow usando microsoft security API Graph. Per altre informazioni, vedere Integrazioni di soluzioni di sicurezza con microsoft graph API Sicurezza.

L'integrazione Microsoft Defender XDR-ServiceNow era disponibile in precedenza nel portale di Microsoft Defender per l'anteprima e il feedback. Questa integrazione consente di creare eventi imprevisti di ServiceNow da eventi imprevisti Microsoft Defender XDR.

Non è possibile inviare file

In alcuni casi, un blocco amministratore potrebbe causare problemi di invio quando si tenta di inviare un file potenzialmente infetto al sito Web di Microsoft Security Intelligence per l'analisi . Il processo seguente illustra come risolvere il problema.

Revisione delle impostazioni

Aprire le impostazioni dell'applicazione Azure Enterprise. In Applicazioni> aziendaliGli utenti possono concedere il consenso alle app che accedono ai dati aziendali per loro conto, controllare se è selezionata l'opzione Sì o No.

  • Se è selezionato No, un amministratore Microsoft Entra per il tenant del cliente deve fornire il consenso per l'organizzazione. A seconda della configurazione con Microsoft Entra ID, gli utenti potrebbero essere in grado di inviare una richiesta direttamente dalla stessa finestra di dialogo. Se non è possibile richiedere il consenso dell'amministratore, gli utenti devono richiedere l'aggiunta di queste autorizzazioni all'amministratore Microsoft Entra. Per altre informazioni, vedere la sezione seguente.

  • Se si seleziona , verificare che l'impostazione dell'app Windows Defender Security Intelligence Abilitata per l'accesso degli utenti sia impostata su in Azure. Se l'opzione No è selezionata, è necessario richiederne l'abilitazione da parte dell'amministratore Microsoft Entra.

Implementare le autorizzazioni necessarie per le applicazioni aziendali

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Questo processo richiede un amministratore globale o un amministratore di applicazioni nel tenant.

  1. Aprire Impostazioni applicazione enterprise.

  2. Selezionare Concedi consenso amministratore per l'organizzazione.

  3. Se è possibile eseguire questa operazione, esaminare le autorizzazioni API necessarie per questa applicazione, come illustrato nell'immagine seguente. Fornire il consenso per il tenant.

    concedere l'immagine di consenso.

  4. Se l'amministratore riceve un errore durante il tentativo di fornire il consenso manualmente, provare l'opzione 1 o l'opzione 2 come possibili soluzioni alternative.

Opzione 1: Approvare le autorizzazioni dell'applicazione aziendale per richiesta dell'utente

Microsoft Entra gli amministratori devono consentire agli utenti di richiedere il consenso amministratore alle app. Verificare che l'impostazione sia configurata su nelle applicazioni aziendali.

Impostazioni utente delle applicazioni aziendali.

Altre informazioni sono disponibili in Configurare il flusso di lavoro di consenso Amministrazione.

Dopo aver verificato questa impostazione, gli utenti possono passare attraverso l'accesso del cliente aziendale a Microsoft Security Intelligence e inviare una richiesta di consenso amministratore, inclusa la giustificazione.

Flusso di accesso di Contoso.

Gli amministratori possono esaminare e approvare le autorizzazioni dell'applicazione Richieste di consenso dell'amministratore di Azure.

Dopo aver fornito il consenso, tutti gli utenti nel tenant potranno usare l'applicazione.

Questo processo richiede che gli amministratori globali esercino il flusso di accesso dei clienti aziendali all'intelligence per la sicurezza Microsoft.

Flusso di accesso per il consenso.

Gli amministratori esaminano quindi le autorizzazioni e si assicurano di selezionare Consenso per conto dell'organizzazione e quindi selezionare Accetta.

Tutti gli utenti nel tenant possono ora usare questa applicazione.

Opzione 3: Eliminare e leggere le autorizzazioni dell'app

Se nessuna di queste opzioni risolve il problema, provare la procedura seguente (come amministratore):

  1. Rimuovere le configurazioni precedenti per l'applicazione. Passare a Applicazioni aziendali e selezionare Elimina.

    Eliminare le autorizzazioni dell'app.

  2. Acquisire TenantID da Proprietà.

  3. Sostituire {tenant-id} con il tenant specifico che deve concedere il consenso a questa applicazione nell'URL seguente. Copiare l'URL seguente nel browser: https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Il resto dei parametri è già stato completato.

    Autorizzazioni necessarie.

  4. Esaminare le autorizzazioni necessarie per l'applicazione e quindi selezionare Accetta.

  5. Verificare che le autorizzazioni siano applicate nel portale di Azure.

    Verificare che le autorizzazioni siano applicate.

  6. Accedere a Microsoft Security Intelligence come utente aziendale con un account non amministratore per verificare se si ha accesso.

Se l'avviso non viene risolto dopo aver seguito questa procedura di risoluzione dei problemi, chiamare il supporto tecnico Microsoft.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

  • Last updated on