alertes d’intégrité du capteur Microsoft Defender pour Identity

Notes

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Page Problèmes d’intégrité

La page problèmes d’intégrité Microsoft Defender pour Identity vous permet de savoir en cas de problème avec votre instance Defender pour Identity, en lançant une alerte d’intégrité. Pour accéder à la page, procédez comme suit :

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Sous Général, sélectionnez Problèmes d’intégrité.

  3. La page Problèmes d’intégrité s’affiche, où vous pouvez voir Les problèmes d’intégrité ouverts, fermés et supprimés .

    Page Problèmes d’intégrité.

  4. Sélectionnez n’importe quel problème pour plus d’informations et l’option permettant de fermer ou de supprimer le problème.

    Détails des problèmes d’intégrité

Notes

Les alertes d’intégrité liées aux capteurs sont également disponibles dans la page Paramètres du capteur .

Alertes d’intégrité

Cette section décrit toutes les alertes d’intégrité pour chaque composant, en énumérant la cause et les étapes nécessaires pour résoudre le problème.

Tous les contrôleurs de domaine ne sont pas accessibles par un capteur

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity est actuellement hors connexion en raison de problèmes de connectivité à tous les contrôleurs de domaine configurés. Cela a un impact sur la capacité de Defender pour Identity à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par ce capteur Defender pour Identity. Assurez-vous que les contrôleurs de domaine sont en cours d’exécution et que ce capteur Defender pour Identity peut leur ouvrir des connexions LDAP. En outre, dans Paramètres , veillez à configurer un compte de service d’annuaire pour chaque forêt déployée. Moyenne Page paramètres des capteurs

L’ensemble ou une partie des cartes réseau de capture sur un capteur ne sont pas disponibles

Alerte Description Résolution Gravité Affiché dans
Toutes/certaines des cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont désactivées ou déconnectées. Le trafic réseau pour certains ou tous les contrôleurs de domaine n’est plus capturé par le capteur Defender pour Identity. Ceci a un impact sur la possibilité de détecter les activités suspectes liées à ces contrôleurs de domaine. Assurez-vous que ces cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont activées et connectées. Moyenne Page paramètres des capteurs

Les informations d'identification de l'utilisateur des services d'annuaire sont incorrectes

Alerte Description Résolution Gravité Affiché dans
Les informations d’identification du compte d'utilisateur des services d'annuaire sont incorrectes. Cela a un impact sur la capacité des capteurs à détecter les activités à l’aide de requêtes LDAP sur les contrôleurs de domaine. - Pour des comptes AD standard : Vérifiez que le nom d’utilisateur, le mot de passe et le domaine dans la page de configuration Services d’annuaire sont corrects.
- Pour Comptes de service administré du groupe : Vérifiez que le nom d’utilisateur et le domaine dans la page de configuration Services d’annuaire sont corrects. Vérifiez également tous les autres prérequis de compte gMSA décrits dans la page recommandations de compte de service d’annuaire .
Moyenne Page Problèmes d’intégrité

Taux de réussite faible dans la résolution de noms active

Alerte Description Résolution Gravité Affiché dans
Les capteurs Defender pour Identity répertoriés ne parviennent pas à résoudre les adresses IP aux noms d’appareils plus de 90 % du temps à l’aide des méthodes suivantes :
- NTLM sur RPC
- NetBIOS
- DNS inversé
Cela a un impact sur les fonctionnalités de détection de Defender pour Identity et peut augmenter le nombre de fausses alarmes positives. - Pour NTLM sur RPC : vérifiez que le port 135 est ouvert pour les communications entrantes à partir des capteurs Defender pour Identity sur tous les ordinateurs de l’environnement.
- Pour DNS inversé : Vérifiez que le capteur peut atteindre le serveur DNS et que les zones de recherche inversée sont activées.
- Pour NetBIOS : vérifiez que le port 137 est ouvert pour les communications entrantes à partir des capteurs Defender pour Identity sur tous les ordinateurs de l’environnement.
En outre, assurez-vous que la configuration du réseau (par exemple, les pare-feu) n'empêche pas la communication vers les ports concernés.
Faible Page paramètres des capteurs et page Problèmes d’intégrité

Aucun trafic reçu du contrôleur de domaine

Alerte Description Résolution Gravité Affiché dans
Aucun trafic n’a été reçu du contrôleur de domaine via ce capteur Defender pour Identity. Cela peut indiquer que la mise en miroir de ports des contrôleurs de domaine vers le capteur Defender pour Identity n’est pas encore configurée ou ne fonctionne pas encore. Vérifiez que la mise en miroir de ports est configurée correctement sur vos appareils réseau.

Sur la carte réseau de capture du capteur Defender pour Identity, désactivez ces fonctionnalités dans Paramètres avancés :

RSC (Receive Segment Coalescing) (IPv4)

RSC (Receive Segment Coalescing) (IPv6)
Moyenne Page paramètres des capteurs et page Problèmes d’intégrité

Le mot de passe de l’utilisateur en lecture seule est sur le point d’expirer

Alerte Description Résolution Gravité Affiché dans
Le mot de passe de l’utilisateur en lecture seule, utilisé pour effectuer la résolution des entités sur Active Directory, expire dans moins de 30 jours. Si le mot de passe de cet utilisateur expire, tous les capteurs Defender pour Identity cessent de s’exécuter et aucune nouvelle donnée n’est collectée. Modifiez le mot de passe de connectivité du domaine, puis mettez à jour le mot de passe du compte de service d’annuaire . Moyenne Page Problèmes d’intégrité

Le mot de passe de l’utilisateur en lecture seule a expiré

Alerte Description Résolution Gravité Affiché dans
Le mot de passe de l’utilisateur en lecture seule, utilisé pour d’obtenir des données de l’annuaire, a expiré. Tous les capteurs Defender pour Identity cessent de s’exécuter (ou cesseront de s’exécuter bientôt) et aucune nouvelle donnée n’est collectée. Modifiez le mot de passe de connectivité du domaine, puis mettez à jour le mot de passe du compte de service d’annuaire . Élevé Page Problèmes d’intégrité

Capteur obsolète

Alerte Description Résolution Gravité Affiché dans
Un capteur Defender pour Identity est obsolète. Un capteur Defender pour Identity exécute une version qui ne peut pas communiquer avec l’infrastructure cloud Defender pour Identity. Mettez à jour le capteur manuellement et vérifiez ce qui empêche la mise à jour automatique du capteur. Si cela ne fonctionne pas, téléchargez le dernier package d’installation du capteur, puis désinstallez et réinstallez le capteur. Pour plus d’informations, consultez Télécharger le capteur Microsoft Defender pour Identity et Installer le capteur Microsoft Defender pour Identity. Moyenne Page des paramètres des capteurs et page problèmes d’intégrité

Le capteur a atteint la limite des ressources mémoire

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity s’est arrêté et redémarre automatiquement pour protéger le contrôleur de domaine contre une mauvaise mémoire. Le capteur Defender pour Identity applique des limitations de mémoire sur lui-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Ce cas de figure se produit quand l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données provenant de ce contrôleur de domaine ne sont que partiellement suivies. Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez des contrôleurs de domaine dans ce site afin de mieux répartir la charge de ce contrôleur de domaine. Moyenne Page des paramètres des capteurs

Échec du démarrage du service de capteur

Alerte Description Résolution Gravité Affiché dans
Le service de capteur Defender pour Identity n’a pas pu démarrer pendant au moins 30 minutes. Cela peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. Surveillez les journaux du capteur Defender pour Identity pour comprendre la cause racine de l’échec du service de capteur Defender pour Identity. Élevé Page des paramètres des capteurs

Le capteur a cessé de communiquer

Alerte Description Résolution Gravité Affiché dans
Il n’y a eu aucune communication du capteur Defender pour Identity. L’intervalle de temps par défaut pour cette alerte est de 5 minutes. Le trafic réseau n’est plus capturé par la carte réseau sur le capteur Defender pour Identity. Cela a un impact sur la capacité de Defender pour Identity à détecter les activités suspectes, car le trafic réseau ne pourra pas atteindre le service cloud Defender pour Identity. Vérifiez que le port utilisé pour la communication entre le capteur Defender pour Identity et le service cloud Defender pour Identity n’est pas bloqué par les routeurs ou pare-feu. Moyenne Page des paramètres des capteurs

Certains contrôleurs de domaine ne sont pas accessibles par un capteur

Alerte Description Résolution Gravité Affiché dans
Un capteur Defender pour Identity a des fonctionnalités limitées en raison de problèmes de connectivité à certains des contrôleurs de domaine configurés. Passer la détection de hachage peut être moins précise lorsque certains contrôleurs de domaine ne peuvent pas être interrogés par le capteur Defender pour Identity. Vérifiez que les contrôleurs de domaine sont en cours d’exécution et que ce capteur Defender pour Identity peut leur ouvrir des connexions LDAP. Moyenne Page des paramètres des capteurs

Certains événements Windows ne sont pas en cours d’analyse

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity reçoit plus d’événements qu’il ne peut en traiter. Certains événements Windows ne sont pas analysés, ce qui peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. S’il s’agit d’un capteur Defender pour Identity autonome, vérifiez que seuls les événements requis sont transférés au capteur Defender pour Identity ou essayez de transférer certains des événements à un autre capteur Defender pour Identity. Moyenne Page des paramètres des capteurs et page problèmes d’intégrité

Une partie du trafic réseau n’a pas pu être analysée

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity reçoit plus de trafic réseau qu’il ne peut en traiter. Une partie du trafic réseau n’a pas pu être analysée, ce qui peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. S’il s’agit d’un capteur Defender pour Identity autonome, réduisez le nombre de contrôleurs de domaine surveillés.

Cela peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces alertes, vous pouvez vérifier que les paramètres suivants sont définis sur 0 ou Désactivé sur la machine virtuelle (dans le système d’exploitation Windows, et non dans les paramètres VMware) :

- Déchargement d’envoi volumineux V2 (IPv4)

- IPv4 TSO Offload

Les noms peuvent varier en fonction de votre version de VMware. Pour plus d’informations, voir la documentation VMware.
Moyenne Page des paramètres des capteurs et page problèmes d’intégrité

Certains événements ETW ne sont pas en cours d’analyse

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity reçoit plus d’événements de suivi d’événements pour Windows (ETW) qu’il ne peut en traiter. Certains événements de suivi d’événements pour Windows (ETW) ne sont pas analysés, ce qui peut avoir un impact sur la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. Moyenne Page paramètres des capteurs et page Problèmes d’intégrité

Capteur avec Windows Server 2008 R2 : sera bientôt non pris en charge

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity s’exécute sur Windows 2008 R2, qui ne sera bientôt pas pris en charge. À compter du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2008 R2. Pour plus d’informations, consultez : https://aka.ms/mdi/2008r2 Mettez à niveau le système d’exploitation sur ce contrôleur de domaine vers au moins Windows Server 2012. Moyen (à compter du 1er juin 2022, la gravité de cette alerte d’intégrité sera élevée) Page paramètres des capteurs

Capteur avec Windows Server 2008 R2 : non pris en charge

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity s’exécute sur Windows 2008 R2, qui n’est pas pris en charge. À compter du 15 juin 2022, Microsoft ne prendra plus en charge le capteur Defender pour Identity sur les appareils exécutant Windows Server 2008 R2. Vous trouverez plus de détails sur https://aka.ms/mdi/2008r2 Mettez à niveau le système d’exploitation sur ce contrôleur de domaine vers au moins Windows Server 2012. Élevé Page paramètres des capteurs

Le capteur rencontre des problèmes avec le composant de capture de paquets

Alerte Description Résolution Gravité Affiché dans
Le capteur Defender pour Identity utilise des pilotes WinPcap au lieu de pilotes Npcap. Nous recommandons à tous les clients d’utiliser le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3. Installez Npcap conformément aux instructions décrites dans : https://aka.ms/mdi/npcap Faible Page paramètres des capteurs
Le capteur Defender pour Identity exécute une version Npcap antérieure à la version minimale requise. Nous recommandons à tous les clients d’utiliser le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3. Mettez à niveau Npcap conformément aux instructions décrites dans : https://aka.ms/mdi/npcap Moyenne Page paramètres des capteurs
Le capteur Defender pour Identity exécute un composant Npcap qui n’est pas configuré comme requis. Nous recommandons à tous les clients d’utiliser le pilote Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM au lieu des pilotes WinPcap 4.1.3. Installez Npcap conformément aux instructions décrites dans : https://aka.ms/mdi/npcap Élevé Page paramètres des capteurs

L’audit NTLM n’est pas activé

Alerte Description Résolution Gravité Affiché dans
L’audit NTLM n’est pas activé. L’audit NTLM (pour l’ID d’événement 8004) n’est pas activé sur le serveur. Activez les événements d’audit NTLM conformément aux instructions décrites dans la section ID d’événement 8004 de la page Configurer la collection d’événements Windows . Moyenne Page paramètres des capteurs

L’audit avancé des services d’annuaire n’est pas activé comme requis

Alerte Description Résolution Gravité Affiché dans
L’audit avancé des services d’annuaire n’est pas activé comme requis. L’audit avancé des services d’annuaire n’inclut pas toutes les catégories et sous-catégories en fonction des besoins. Activez les événements d’audit avancé des services d’annuaire conformément aux instructions décrites dans la section Configurer les stratégies d’audit , dans la page Configurer la collection d’événements Windows . Moyenne Page Problèmes d’intégrité

Voir aussi