Problèmes d’intégrité de Microsoft Defender pour Identity
La page Microsoft Defender pour Identity Problèmes d’intégrité répertorie tous les problèmes d’intégrité actuels pour votre déploiement et capteurs Defender pour Identity, ce qui vous avertit de tout problème dans votre déploiement Defender pour Identity.
Page des problèmes d’intégrité
La page Microsoft Defender pour Identity Problèmes d’intégrité vous permet de savoir quand il existe un problème avec votre espace de travail Defender for Identity, en soulevant un problème d’intégrité. Pour accéder à la page, procédez comme suit :
Dans Microsoft Defender XDR, sous Identités, sélectionnez Problèmes d’intégrité.
La page Problèmes d’intégrité s’affiche, où vous pouvez voir les problèmes d’intégrité pour votre environnement Général Defender pour Identity et des capteurs spécifiques.
Defender pour Identity prend en charge les types d’alertes d’intégrité suivants :
- Problèmes d’intégrité liés au domaine ou agrégés, répertoriés sous l’onglet Problèmes d’intégrité globaux
- Problèmes d’intégrité spécifiques au capteur, répertoriés sous l’onglet Problèmes d’intégrité du capteur
Filtrez les problèmes par état, nom de problème ou gravité pour vous aider à trouver le problème que vous recherchez.
Par exemple :
Sélectionnez un problème pour plus d’informations et l’option permettant de fermer ou de supprimer le problème. Par exemple :
Problèmes d’intégrité
Cette section décrit tous les problèmes d’intégrité pour chaque composant, répertoriant la cause et les étapes nécessaires pour résoudre le problème.
Les problèmes d’intégrité spécifiques aux capteurs sont affichés dans l’onglet Problèmes d’intégrité du capteur et les problèmes d’intégrité liés au domaine ou agrégés s’affichent dans l’onglet Problèmes d’intégrité globaux, comme indiqué dans les tableaux suivants :
Un contrôleur de domaine n’est pas accessibles par un capteur
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity a des fonctionnalités limitées en raison de problèmes de connectivité au contrôleur de domaine configuré. | Cela affecte la capacité de Defender pour Identity à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Assurez-vous que les contrôleurs de domaine sont opérationnels et que ce capteur Defender pour Identity peut ouvrir des connexions LDAP. En outre, dans Paramètres veillez à configurer un compte de service d’annuaire pour chaque forêt déployée. | Moyenne | Onglet Problèmes d’intégrité des capteurs |
Toutes/Certaines cartes réseau de capture sur un capteur ne sont pas disponibles
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Toutes/certaines des cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont désactivées ou déconnectées. | Le trafic réseau pour certains/tous les contrôleurs de domaine n’est plus capturé par le capteur Defender pour Identity. Ce problème affecte la capacité à détecter les activités suspectes, liées à ces contrôleurs de domaine. | Vérifiez que ces cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont activées et connectées. | Moyenne | Onglet Problèmes d’intégrité des capteurs |
Les informations d’identification de l’utilisateur des services d’annuaire sont incorrectes
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Les informations d’identification du compte d’utilisateur des services d’annuaire sont incorrectes. | Ce problème affecte la capacité des capteurs à détecter les activités à l’aide de requêtes LDAP sur des contrôleurs de domaine. | - Pour un compte AD standard : vérifiez que le nom d’utilisateur, le mot de passe et le domaine dans la page de configuration Services d’annuaire sont corrects. - Pour les comptes de service administré du groupe : vérifiez que le nom d’utilisateur et le domaine dans la page de configuration Services d’annuaire sont corrects. Vérifiez également tous les autres prérequis du compte gMSA décrits dans la page recommandations du compte de service d’annuaire. |
Moyenne | Onglet Problèmes d’intégrité globale |
Taux de réussite faible dans la résolution de noms active
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Les capteurs Defender pour Identity répertoriés ne parviennent pas à résoudre les adresses IP en noms d’appareils plus de 90 % du temps à l’aide des méthodes suivantes : - NTLM sur RPC - NetBIOS - DNS inversé |
Cela affecte les fonctionnalités de détection de Defender pour Identity et peut augmenter le nombre de fausses alarmes positives. | - Pour NTLM sur RPC : vérifiez que le port 135 est ouvert pour la communication entrante à partir des capteurs Defender pour Identity, sur tous les ordinateurs de l’environnement. - Pour le DNS inversé : vérifiez que les capteurs peuvent atteindre le serveur DNS et que les zones de recherche inverse sont activées. - Pour NetBIOS : vérifiez que le port 137 est ouvert pour la communication entrante à partir des capteurs Defender pour Identity, sur tous les ordinateurs de l’environnement. En outre, assurez-vous que la configuration réseau (par exemple, les pare-feu) n’empêche pas la communication avec les ports appropriés. |
Faible | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Aucun trafic n’a été reçu du contrôleur de domaine
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Aucun trafic n’a été reçu du contrôleur de domaine via ce capteur Defender pour Identity. | Ce problème peut indiquer que la mise en miroir des ports des contrôleurs de domaine vers les capteurs Defender pour Identity n’est pas encore configurée ou ne fonctionne pas. | Vérifier que la mise en miroir des ports est configuré correctement sur vos appareils réseau. Sur le NIC de capture du capteur Defender pour Identity, désactiver ces fonctions dans les paramètres avancés : Coalescence des segments de réception (IPv4) Coalescence des segments de réception (IPv6) |
Moyenne | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Mot de passe de l’utilisateur en lecture seule à expirer prochainement
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le mot de passe de l’utilisateur en lecture seule, utilisé pour résoudre les entités sur Active Directory, est sur le point d’expirer en moins de 30 jours. | Si le mot de passe de cet utilisateur expire, tous les capteurs Defender pour Identity arrêtent de s’exécuter et aucune nouvelle donnée n’est collectée. | Changer le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe du compte des services d’annuaire. | Moyenne | Onglet Problèmes d’intégrité globale |
Mot de passe utilisateur en lecture seule expiré
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le mot de passe de l’utilisateur en lecture seule, utilisé pour obtenir les données de l’annuaire, a expiré. | Tous les capteurs Defender pour Identity arrêtent de s’exécuter ,ou cesseront de s’exécuter bientôt, et aucune nouvelle donnée n’est collectée. | Changer le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe du compte des services d’annuaire. | Forte | Onglet Problèmes d’intégrité globale |
Capteur obsolète
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Un capteur Defender pour Identity est obsolète. | Un capteur Defender pour Identity exécute une version qui ne peut pas communiquer avec l’infrastructure cloud Defender for Identity. | Mettez à jour manuellement le capteur et vérifiez pour voir pourquoi le capteur n’est pas mis à jour automatiquement. Si cette option ne fonctionne pas, téléchargez le dernier package d’installation du capteur et désinstallez et réinstallez le capteur. Pour plus d’informations, consultez Télécharger le capteur Microsoft Defender pour Identity et Installer le capteur Microsoft Defender pour Identity. | Moyenne | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Le capteur a atteint une limite de ressources mémoire
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’est arrêté et redémarre automatiquement pour protéger le contrôleur de domaine d’une condition de mémoire faible. | Le capteur Defender pour Identity applique des limitations de mémoire sur elle-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Ce problème survient lorsque l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données de ce contrôleur de domaine ne sont surveillées qu’en partie. | Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez d’autres contrôleurs de domaine dans ce site pour mieux répartir la charge de ce contrôleur de domaine. | Moyenne | Onglet Problèmes d’intégrité des capteurs |
Le service du capteur n’a pas démarré
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le service de capteur Defender pour Identity n’a pas pu démarrer pendant au moins 30 minutes. | Ce problème peut affecter la possibilité de détecter les activités suspectes provenant de contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Surveillez les journaux des capteurs Defender pour Identity afin de comprendre la cause racine de l’échec du service de capteur Defender pour Identity. | Forte | Onglet Problèmes d’intégrité des capteurs |
Le capteur a cessé de communiquer
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Il n’y a pas eu de communication du capteur Defender for Identity. L’intervalle de temps par défaut pour cette alerte est de 5 minutes. | Le trafic réseau n’est plus capturé par la carte réseau sur le capteur Defender pour Identity. Cela affecte la capacité de Defender pour Identity à détecter les activités suspectes, car le trafic réseau n’est pas en mesure d’atteindre le service cloud Defender for Identity. | Vérifiez que le port utilisé pour la communication entre le capteur Defender pour Identity et le service cloud Defender pour Identity n’est pas bloqué par des routeurs ou pare-feu. | Moyenne | Onglet Problèmes d’intégrité des capteurs |
Certains événements Windows ne sont pas en cours d’analyse
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus d’événements qu’il ne peut traiter. | Certains événements Windows ne sont pas en cours d’analyse. Cela peut affecter la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. Si vous utilisez un capteur Defender pour Identity autonome, vérifiez que seuls les événements requis sont transférés au capteur. Vous pouvez également essayer de transférer certains événements vers un autre capteur Defender pour Identity. | Moyenne | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Une partie du trafic réseau n’a pas pu être analysée
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus de trafic réseau qu’il ne peut traiter. | Une partie du trafic réseau n’a pas pu être analysée. Ce problème peut affecter la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. Si vous utilisez un capteur Defender pour Identity autonome, réduisez le nombre de contrôleurs de domaine surveillés. Ce problème peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces problèmes, vous pouvez vérifier que les paramètres suivants sont définis sur 0 ou désactivés dans la machine virtuelle (dans le système d’exploitation Windows, et non dans les paramètres VMware) : - Large Send Offload V2 (IPv4) - IPv4 TSO Offload Les noms peuvent varier en fonction de votre version de VMware. Pour plus d’informations, voir la documentation VMware. |
Moyenne | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Certains événements ETW ne sont pas en cours d’analyse
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus d’événements suivi d’événements pour Windows (ETW) qu’il ne peut traiter. | Certains événements de suivi d’événements pour Windows (ETW) ne sont pas analysés. Cela peut affecter la capacité de détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter des processeurs et de la mémoire selon les besoins. | Moyenne | Onglet Problèmes d’intégrité des capteurs et onglet Problèmes d’intégrité globaux |
Capteur s’exécutant sur un système d’exploitation qui deviendra bientôt non pris en charge
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’exécute sur un système d’exploitation qui deviendra bientôt non pris en charge. | Windows Server 2012 et 2012 R2 ont atteint la fin de leur prise en charge le 10 octobre 2023. Vous trouverez plus de détails sur : https://aka.ms/mdi/oseos | Le système d’exploitation sur le serveur doit être mis à niveau vers le système d’exploitation pris en charge le plus récent. Pour plus d’informations, voir : https://aka.ms/mdi/os | Moyenne | Onglet Problèmes d’intégrité des capteurs |
Capteur s’exécutant sur un système d’exploitation non pris en charge
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’exécute sur un système d’exploitation non pris en charge. | Windows Server 2012 et 2012 R2 ont atteint la fin de leur prise en charge le 10 octobre 2023. Vous trouverez plus de détails sur https://aka.ms/mdi/oseos | Le système d’exploitation sur le serveur doit être mis à niveau vers le système d’exploitation pris en charge le plus récent. Pour plus d’informations, voir : https://aka.ms/mdi/os | Forte | Onglet Problèmes d’intégrité des capteurs |
Le capteur rencontre des problèmes avec le composant de capture de paquets
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity utilise des pilotes WinPcap au lieu de pilotes Npcap. | Tous les clients doivent utiliser des pilotes Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM. | Installez Npcap en fonction des instructions décrites dans : https://aka.ms/mdi/npcap | Faible | Onglet Problèmes d’intégrité des capteurs |
| Le capteur Defender pour Identity exécute une version Npcap antérieure à la version minimale requise. | La version minimale prise en charge de Npcap est la 1.0. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM. | Mettez à niveau Npcap en fonction des instructions décrites dans : https://aka.ms/mdi/npcap | Moyenne | Onglet Problèmes d’intégrité des capteurs |
| Le capteur Defender pour Identity exécute un composant Npcap qui n’est pas configuré comme requis. | L’installation de Npcap ne contient pas les options de configuration requises. | Installez Npcap en fonction des instructions décrites dans : https://aka.ms/mdi/npcap | Forte | Onglet Problèmes d’intégrité des capteurs |
L’audit NTLM n’est pas activé
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| L’audit NTLM n’est pas activé. | L’audit NTLM (pour l’identifiant d’événement 8004) n’est pas activé sur le serveur. (Cette configuration est validée une fois par semaine, par capteur). | Activez les événements d’audit NTLM en fonction des instructions décrites dans la section identifiant d’événement 8004, dans la page Configurer la collection d’événements Windows. | Moyenne | Onglet Problèmes d’intégrité des capteurs |
L’audit avancé des services d’annuaire n’est pas activé si nécessaire
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| L’audit avancé des services d’annuaire n’est pas activé si nécessaire. (Cette configuration est validée une fois par jour, par domaine). | La configuration de l’audit avancé des services d’annuaire n’inclut pas toutes les catégories et sous-catégories requises. | Activez les événements d’audit avancé des services d’annuaire. Pour plus d’informations, consultez Configurer des stratégies d’audit pour les journaux des événements Windows. | Moyenne | Onglet Problèmes d’intégrité globale |
L’audit d’objet des services d’annuaire n’est pas activé si nécessaire
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| L’audit des objets des services d’annuaire n’est pas activé si nécessaire. (Cette configuration est validée une fois par jour, par domaine). | La configuration de l’audit d’objet des services d’annuaire n’inclut pas tous les types d’objets et autorisations nécessaires. | Activez les événements d’audit d’objets des services d’annuaire en fonction des instructions décrites dans la section Configurer l’audit d’objet de domaine, dans la page Configurer la collection d’événements Windows. | Moyenne | Onglet Problèmes d’intégrité globale |
L’audit sur le conteneur de configuration n’est pas activé si nécessaire
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| L’audit sur le conteneur configuration n’est pas activé si nécessaire. (Cette configuration est validée une fois par jour, par domaine). | L’audit des services d’annuaire sur le conteneur configuration du domaine n’est pas activé si nécessaire. | Activez l’audit des services d’annuaire du conteneur de la configuration du domaine en fonction des instructions décrites dans la section Configurer les stratégies d’audit, dans la page Configurer la collection d’événements Windows. | Moyenne | Onglet Problèmes d’intégrité globale |
L’audit sur le conteneur ADFS n’est pas activé si nécessaire
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| L’audit sur le conteneur ADFS n’est pas activé si nécessaire. (Cette configuration est validée une fois par jour, par domaine). | L’audit des services d’annuaire sur le conteneur ADFS n’est pas activé si nécessaire. | Activez l’audit des services d’annuaire du conteneur ADFS en fonction des instructions décrites dans la section Configurer un audit sur des services de fédération Active Directory (AD FS), dans la page Configurer la collection d’événements Windows. | Moyenne | Onglet Problèmes d’intégrité globale |
Le mode d’alimentation n’est pas configuré pour des performances optimales du processeur
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le mode d’alimentation n’est pas configuré pour des performances optimales du processeur. (Cette configuration est validée une fois par jour, par capteur). | Le mode d’alimentation du système d’exploitation n’est pas configuré pour les paramètres de performances de processeur optimaux. Ce problème peut affecter les performances du serveur et la capacité des capteurs à détecter les activités suspectes. | Effectuez l’une des actions suivantes : - Configurez Hautes performances comme option d’alimentation de la machine exécutant le capteur Defender pour Identity - Définissez à la fois l’état minimal et maximal du processeur sur 100 Pour plus d’informations, consultez la section Exigences et recommandations du capteur dans la page des prérequis Defender for Identity. |
Faible | Onglet Problèmes d’intégrité des capteurs |
Le capteur n’a pas pu écrire dans le chemin d’accès du journal personnalisé
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Le capteur n’a pas pu écrire dans le chemin d’accès du journal personnalisé. | Impossible de créer le chemin d’accès du journal personnalisé fourni dans la configuration du capteur. | 1 Arrêtez les services AATPSensorUpdater et AATPSensor. 2. Remplacez le SensorCustomLogLocation dans le fichier de configuration du capteur par un chemin d’accès valide ou définissez-le sur Null. 3. Démarrez à nouveau les services AATPSensorUpdater et AATPSensor. |
Faible | Onglet Problèmes d’intégrité des capteurs |
Échecs d’ingestion de données de comptabilité Radius (intégration VPN)
| Alert | Description | Résolution | Niveau de gravité | Affiché dans |
|---|---|---|---|---|
| Échecs d’ingestion de données de comptabilité Radius (intégration VPN). | Les capteurs Defender pour Identity répertoriés présentent des échecs d’ingestion de données de comptabilité radius (intégration VPN). | Vérifiez que le secret partagé dans les paramètres de configuration de Defender pour Identity correspond à votre serveur VPN, conformément aux instructions décrites dans la section Configurer VPN dans Defender pour Identity, dans la page Intégration VPN Defender pour Identity. | Faible | Page des problèmes d’intégrité |