Partekatu honen bidez:


Alertas de estado de Defender for Identity

En la página Problemas de mantenimiento de Microsoft Defender for Identity se enumeran los problemas de mantenimiento actuales de la implementación y los sensores de Defender for Identity, que le avisan de los problemas de la implementación de Defender for Identity.

Problema de estado de la página

La página Problemas de mantenimiento de Microsoft Defender for Identity le permite saber cuándo hay un problema con el área de trabajo de Defender for Identity mediante la generación de un problema de mantenimiento. Para acceder a la página, siga estos pasos:

  1. En Microsoft Defender XDR, en Identidades, seleccione Problemas de mantenimiento.

  2. Se muestra la página Problemas de mantenimiento, donde puede ver problemas de mantenimiento tanto para el entorno general de Defender for Identity como para sensores específicos.

    Defender for Identity admite los siguientes tipos de alertas de estado:

    • Problemas de mantenimiento agregados o relacionados con el dominio, enumerados en la pestaña Problemas de mantenimiento global
    • Problemas de mantenimiento específicos del sensor, enumerados en la pestaña Problemas de estado del sensor

    Filtre los problemas por estado, nombre de problema o gravedad para ayudarle a encontrar el problema que busca.

    Por ejemplo:

    Captura de pantalla de la página de problemas de estado.

  3. Seleccione cualquier problema para obtener más detalles y la opción para cerrar o suprimir el problema. Por ejemplo:

    Captura de pantalla del panel de detalles de un problema de estado.

Problemas de estado

En esta sección se describen todas las alertas de estado de cada componente y se enumeran las causas y los pasos necesarios para resolver el problema.

Los problemas de mantenimiento específicos del sensor se muestran en la pestaña Problemas de mantenimiento del sensor y los problemas de mantenimiento agregados o relacionados con el dominio se muestran en la pestaña Problemas de mantenimiento globales, tal como se detalla en las tablas siguientes:

Ninguno de los controladores de dominio es accesible para un sensor

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity tiene una funcionalidad limitada debido a problemas de conectividad con el controlador de dominio configurado. Esto afecta a la capacidad de Defender for Identity de detectar actividades sospechosas relacionadas con controladores de dominio supervisados por este sensor de Defender for Identity. Asegúrese de que los controladores de dominio estén en funcionamiento y de que este sensor de Defender for Identity puede abrir conexiones LDPA a ellos. Además, en Configuraciones asegúrese de configurar una cuenta de servicio de directorio para cada bosque implementado. Media Pestaña Problemas de mantenimiento de sensores

Todos/algunos adaptadores de red de captura de un sensor no están disponibles

Alerta Descripción Resolución Gravedad Se muestra en
Todos/algunos de los adaptadores de red de captura seleccionados en el sensor de Defender for Identity están deshabilitados o desconectados. El sensor de Defender for Identity ya no captura el tráfico de red para algunos o todos los controladores de dominio. Este problema afecta a la capacidad de detectar actividades sospechosas, relacionadas con esos controladores de dominio. Asegúrese de que estos adaptadores de red de captura seleccionados en la el sensor de Defender for Identity están habilitados y conectados. Media Pestaña Problemas de mantenimiento de sensores

Las credenciales de usuario de servicios de directorio no son correctas.

Alerta Descripción Resolución Gravedad Se muestra en
Las credenciales de la cuenta de usuario de servicios de directorio son incorrectas. Este problema afecta a la capacidad de los sensores de detectar actividades mediante consultas LDAP en controladores de dominio. Para cuentas AD estándar: compruebe que el nombre de usuario, la contraseña y el dominio de la página de configuración de los servicios de directorio son correctos.
Para Cuentas de servicio administradas de grupo: compruebe que el nombre de usuario, la contraseña y el dominio de la página de configuración de los Servicios de directorio son correctos. Compruebe también los demás requisitos previos de la cuenta de gMSA descritos en la página recomendaciones de la cuenta de servicio de directorio.
Media Pestaña Problemas de mantenimiento global

Tasa de éxito baja de la resolución de nombres activa

Alerta Descripción Resolución Gravedad Se muestra en
Los sensores de Defender for Identity enumerados no pueden resolver las direcciones IP en los nombres de dispositivo más del 90% del tiempo mediante los métodos siguientes:
- NTLM sobre RPC
- NetBIOS
- DNS inversos
Esto afecta a las funcionalidades de detecciones de Defender for Identity y puede aumentar el número de alarmas de falsos positivos. - Para NTLM a través de RPC: compruebe que el puerto 135 está abierto para la comunicación entrante desde sensores de Defender for Identity en todos los equipos del entorno.
- Para DNS inverso: compruebe que los sensores pueden acceder al servidor DNS y que las zonas de búsqueda inversa están habilitadas.
- Para NetBIOS: compruebe que el puerto 137 está abierto para la comunicación entrante desde sensores de Defender for Identity en todos los equipos del entorno.
Además, asegúrese de que la configuración de red (como los servidores de seguridad) no impidan la comunicación con los puertos pertinentes.
Bajo Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

No se ha recibido tráfico del controlador de dominio

Alerta Descripción Resolución Gravedad Se muestra en
No se recibió tráfico del controlador de dominio a través de este sensor de Defender for Identity. Este problema puede indicar que la creación de reflejo del puerto de los controladores de dominio al sensor de Defender for Identity aún no está configurada o no funciona. Compruebe que la creación de reflejo del puerto está configurada correctamente en los dispositivos de red.

En la NIC de captura del sensor de Defender for Identity, deshabilite estas características en Configuraciones avanzadsas:

Fusión de segmentos de recepción (IPv4)

Fusión de segmentos de recepción (IPv6)
Media Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

Contraseña de usuario de solo lectura para expirar en breve

Alerta Descripción Resolución Gravedad Se muestra en
La contraseña de usuario de solo lectura, que se usa para realizar la resolución de entidades en Active Directory, va a expirar en menos de 30 días. Si la contraseña de este usuario expira, todos los sensores de Deferder for Identity dejan de ejecutarse y no se recopilan nuevos datos. Cambie la contraseña de conectividad de dominio y, a continuación, actualice la contraseña de la cuenta de servicio de directorio. Media Pestaña Problemas de mantenimiento global

Contraseña de usuario de solo lectura expirada

Alerta Descripción Resolución Gravedad Se muestra en
La contraseña de usuario de solo lectura, que se usa para obtener datos de directorio, ha expirado. Todos los sensores de Defender for Identity dejan de ejecutarse o dejarán de ejecutarse pronto y no se recopilarán nuevos datos. Cambie la contraseña de conectividad de dominio y, a continuación, actualice la contraseña de la cuenta de servicio de directorio. Alto Pestaña Problemas de mantenimiento global

Sensor obsoleto

Alerta Descripción Resolución Gravedad Se muestra en
Un sensor de Defender for Identity está obsoleto. Un sensor de Defender for Identity ejecuta una versión que no se puede comunicar con la infraestructura en la nube de Defender for Identity. Actualice manualmente el sensor y compruebe por qué el sensor no se actualiza automáticamente. Si esta opción no funciona, descargue el paquete de instalación del sensor más reciente y desinstale y vuelva a instalar el sensor. Para obtener más información, consulte Descargar el sensor de Microsoft Defender for Identity e Instalar el sensor de Microsoft Defender for Identity. Media Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

El sensor ha alcanzado el límite de recursos de la memoria

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity se detuvo y se reiniciará automáticamente para proteger el controlador de dominio de una condición de memoria baja. El sensor de Defender for Identity aplica limitaciones de memoria sobre sí mismas para evitar que el controlador de dominio experimente limitaciones de recursos. Este problema ocurre cuando el uso de memoria en el controlador de dominio es alto. Los datos de este controlador de dominio solo se supervisan parcialmente. Aumente la cantidad de memoria (RAM) en el controlador de dominio o agregue más controladores de dominio en este sitio para distribuir mejor la carga de este controlador de dominio. Media Pestaña Problemas de mantenimiento de sensores

El servicio de sensor no se inicia.

Alerta Descripción Resolución Gravedad Se muestra en
No se pudo iniciar el servicio de sensor de Defender for Identity durante al menos 30 minutos. Este problema puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por este sensor de Defender for Identity. Supervise los registros del sensor de Defender for Identity para comprender la causa principal del error del servicio de sensor de Defender for Identity. Alto Pestaña Problemas de mantenimiento de sensores

El sensor ha detenido la comunicación

Alerta Descripción Resolución Gravedad Se muestra en
No se ha producido ninguna comunicación desde el sensor de Defender for Identity. El intervalo de tiempo predeterminado para esta alerta es de 5 minutos. El adaptador de red ya no captura el tráfico de red en el sensor de Defender for Identity. Esto afecta a la capacidad de Defender for Identity para detectar actividades sospechosas, ya que el tráfico de red no puede acceder al servicio en la nube de Defender for Identity. Compruebe que el puerto usado para la comunicación entre el sensor de Defender for Identity y el servicio en la nube de Defender for Identity no está bloqueado por ningún enrutador o servidor de seguridad. Media Pestaña Problemas de mantenimiento de sensores

Algunos eventos de Windows no se están analizando.

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity está recibiendo más eventos de los que puede procesar. Algunos eventos de Windows no se están analizando. Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por este sensor de Defender for Identity. Considere la posibilidad de agregar procesadores y memoria adicionales según sea necesario. Si usa un sensor independiente de Defender for Identity, compruebe que solo se reenvieron los eventos necesarios al sensor. O bien, intente reenviar algunos eventos a otro sensor de Defender for Identity. Media Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

No se pudo analizar cierto tráfico de red

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity está recibiendo más tráfico de red del que puede procesar. No se pudo analizar cierto tráfico de red. Este problema puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por este sensor de Defender for Identity. Considere la posibilidad de agregar procesadores y memoria adicionales según sea necesario. Si usa un sensor independiente de Defender for Identity, reduzca el número de controladores de dominio que se supervisan.

Este problema también puede ocurrir si usa controladores de dominio en máquinas virtuales de VMware. Para evitar estos problemas, puede comprobar que la configuración siguiente está establecida en 0 o Deshabilitada en la máquina virtual (en el sistema operativo Windows, no en la configuración de VMware):

- Descarga de envío grande V2 (IPv4)

- Descarga TSO IPv4

Los nombres pueden variar en función de la versión de VMware. Para obtener más información, consulte su documentación de VMware.
Media Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

Algunos eventos de ETW no se están analizando.

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity recibe más eventos de seguimiento de eventos para Windows (ETW) de los que puede procesar. Algunos eventos de seguimiento de eventos para Windows (ETW) no se analizan. Esto puede afectar a la capacidad de detectar actividades sospechosas que se originan en controladores de dominio supervisados por este sensor de Defender for Identity. Considere la posibilidad de agregar procesadores y memoria adicionales según sea necesario. Media Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento global

Sensor que se ejecuta en un sistema operativo que pronto dejará de ser compatible

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity se ejecuta en un sistema operativo que pronto no se admitirá. Windows Server 2012 y 2012 R2 dejaron de prestar soporte técnico el 10 de octubre de 2023. Encontrará más detalles en https://aka.ms/mdi/oseos. El sistema operativo del servidor debe actualizarse al sistema operativo compatible más reciente. Si desea obtener información más detallada, consulte https://aka.ms/mdi/os. Media Pestaña Problemas de mantenimiento de sensores

Sensor que se ejecuta en un sistema operativo no compatible

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity se ejecuta en un sistema operativo no compatible. Windows Server 2012 y 2012 R2 dejaron de prestar soporte técnico el 10 de octubre de 2023. Encontrará más detalles en https://aka.ms/mdi/oseos. El sistema operativo del servidor debe actualizarse al sistema operativo compatible más reciente. Si desea obtener información más detallada, consulte https://aka.ms/mdi/os. Alto Pestaña Problemas de mantenimiento de sensores

El sensor tiene problemas con el componente de captura de paquetes

Alerta Descripción Resolución Gravedad Se muestra en
El sensor de Defender for Identity usa controladores WinPcap en lugar de controladores Npcap. Todos los clientes deben usar controladores Npcap en lugar de los controladores WinPcap. A partir de Defender for Identity versión 2.184, el paquete de instalación instala Npcap 1.0 OEM. Instale Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap Alto Pestaña Problemas de mantenimiento de sensores
El sensor de Defender for Identity ejecuta una versión Npcap anterior a la versión mínima necesaria. La versión mínima de Npcap admitida es 1.0. A partir de Defender for Identity versión 2.184, el paquete de instalación instala Npcap 1.0 OEM. Actualice Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap Media Pestaña Problemas de mantenimiento de sensores
El sensor de Defender for Identity está ejecutando un componente Npcap que no está configurado según corresponde. Faltan las opciones de configuración necesarias para la instalación de Npcap. Instale Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap Alto Pestaña Problemas de mantenimiento de sensores

La auditoría NTLM no está habilitada

Alerta Descripción Resolución Gravedad Se muestra en
La auditoría NTLM no está habilitada. La auditoría NTLM (para el ID. de evento 8004) no está habilitada en el servidor. (Esta configuración se valida una vez al día, por sensor). Habilite los eventos de auditoría NTLM según las instrucciones que se describen en la sección Id. de evento 8004, en la página Configurar recopilación de eventos de Windows. Media Pestaña Problemas de mantenimiento de sensores

La auditoría avanzada de Directory Services no está habilitada según corresponde.

Alerta Descripción Resolución Gravedad Se muestra en
La auditoría avanzada de Directory Services no está habilitada según corresponde. (Esta configuración se valida una vez al día, por sensor). La configuración de auditoría avanzada de Servicios de directorio no incluye todas las categorías y subcategorías según corresponde. Habilite los eventos de auditoría avanzada de Directory Services. Para obtener más información, consulte Configurar directivas de auditoría para los registros de eventos de Windows. Media Pestaña Problemas de mantenimiento de sensores

La auditoría de objetos de Directory Services no está habilitada según corresponde.

Alerta Descripción Resolución Gravedad Se muestra en
La auditoría de objetos de Directory Services no está habilitada según corresponde. (Esta configuración se valida una vez al día, por dominio). La configuración de auditoría de objetos de Servicios de directorio no incluye todos los tipos de objetos y permisos según corresponde. Habilite los eventos de auditoría de objetos de Servicios de directorio según las instrucciones que se describen en la sección Configurar auditoría de objetos de dominio, en la página Configurar recopilación de eventos de Windows. Media Pestaña Problemas de mantenimiento global

La auditoría en el contenedor de configuración no está habilitada según corresponde.

Alerta Descripción Resolución Gravedad Se muestra en
La auditoría en el contenedor de configuración no está habilitada según corresponde. (Esta configuración se valida una vez al día, por dominio). La auditoría de Servicios de directorio en el contenedor Configuración del dominio no está habilitada según corresponde. Habilite la Auditoría de Servicios de directorio en el contendedor de Configuración del dominio según las instrucciones que se describen en la sección Configurar auditoría de objetos de dominio, en la página Configurar recopilación de eventos de Windows. Media Pestaña Problemas de mantenimiento global

La auditoría en el contenedor de ADFS no está habilitada según corresponde.

Alerta Descripción Resolución Gravedad Se muestra en
La auditoría en el contenedor de ADFS no está habilitada según corresponde. (Esta configuración se valida una vez al día, por dominio). La auditoría de Servicios de directorio en el contenedor ADFS no está habilitada según corresponde. Habilite la Auditoría de Servicios de directorio en el contendedor ADFS según las instrucciones que se describen en la sección Configurar auditoría de Servicios de federación de Active Directory (AD FS), en la página Configurar recopilación de eventos de Windows. Media Pestaña Problemas de mantenimiento global

El modo de energía no está configurado para un rendimiento óptimo del procesador

Alerta Descripción Resolución Gravedad Se muestra en
El modo de energía no está configurado para un rendimiento óptimo del procesador. (Esta configuración se valida una vez al día, por sensor). El modo de energía del sistema operativo no está configurado para la configuración óptima de rendimiento del procesador. Este problema puede afectar al rendimiento del servidor y a la capacidad de los sensores para detectar actividades sospechosas. Realice una de las siguientes acciones:

- Configure la opción de energía de la máquina en la que se ejecuta el sensor de Defender for Identity en Alto rendimiento.
- Establezca el estado mínimo y máximo del procesador en 100.

Para obtener más información, consulte la sección Requisitos y recomendaciones del sensor en la página Requisitos previos de Defender for Identity.
Bajo Pestaña Problemas de mantenimiento de sensores

El sensor no pudo escribir en la ruta de acceso de registro personalizada

Alerta Descripción Resolución Gravedad Se muestra en
El sensor no pudo escribir en la ruta de acceso de registro personalizada. No se puede crear la ruta de acceso del registro personalizada proporcionada en la configuración del sensor. 1. Detenga los AATPSensorUpdater servicios y AATPSensor.
2. Cambie en SensorCustomLogLocation el archivo de configuración del sensor a una ruta de acceso válida o establézcalo en null.
3. Vuelva a iniciar los servicios AATPSensorUpdater y AATPSensor.
Bajo Pestaña Problemas de mantenimiento de sensores

Errores de ingesta de datos de cuentas radius (integración de VPN)

Alerta Descripción Resolución Gravedad Se muestra en
Errores de ingesta de datos de cuentas radius (integración de VPN). Los sensores de Defender for Identity enumerados tienen errores de ingesta de datos de cuentas de radio (integración de VPN). Valide que el secreto compartido de la configuración de Defender for Identity coincida con el servidor VPN, según las instrucciones descritas en la sección Configuración de VPN en Defender for Identity, en la página de integración de VPN de Defender for Identity. Bajo Problema de estado de la página

No se pudo recuperar la configuración del servicio Microsoft Entra Connect

Alerta Descripción Resolución Gravedad Se muestra en
No se pudo recuperar la configuración del servicio Microsoft Entra Connect El sensor no puede recuperar la configuración del servicio Microsoft Entra Connect (también conocido como sincronización de Microsoft Azure AD). Asegúrese de que el servicio Microsoft Entra connect (Microsoft Sincronización de Azure AD) se está ejecutando y siga las instrucciones de Configuración de permisos para la base de datos de Microsoft Entra Connect (ADSync) para conceder al sensor los permisos necesarios. Si el problema persiste, siga las instrucciones de solución de problemas de conectividad de SQL con Microsoft Entra Connect. Media Pestaña Problemas de mantenimiento de sensores

Pasos siguientes