A Microsoft Defender for Identity állapotproblémái
A Microsoft Defender identitásállapotokkal kapcsolatos problémáinak lapja felsorolja a Defender identitáshoz készült központi telepítésével és érzékelőivel kapcsolatos aktuális állapotproblémákat, és figyelmezteti Önt a Defender identitáskezelési környezetében felmerülő problémákra.
Állapotproblémák lap
A Microsoft Defender for Identity Health problémáinak lapja az állapotproblémák felvetésével tudatja Önnel, hogy a Defender for Identity-munkaterülettel kapcsolatban probléma merült fel. A lap eléréséhez kövesse az alábbi lépéseket:
A Microsoft Defender XDR Identitások területén válassza az Állapotproblémák lehetőséget.
Megjelenik az Állapotproblémák lap, ahol az általános Identitásvédő környezet és az adott érzékelők állapotproblémái is megjelennek.
A Defender for Identity a következő típusú állapotriasztásokat támogatja:
- Tartományhoz kapcsolódó vagy összesített állapottal kapcsolatos problémák, amelyek a Globális állapottal kapcsolatos problémák lapon jelennek meg
- Érzékelőspecifikus állapotproblémák, az Érzékelő állapotával kapcsolatos problémák lapon
Szűrje a problémákat állapot, probléma neve vagy súlyossága szerint, hogy segítsen megtalálni a keresett problémát.
Példa:
Válassza ki a problémát a további részletekért, és a probléma bezárásához vagy letiltásához. Példa:
Állapotproblémák
Ez a szakasz az egyes összetevőkkel kapcsolatos összes állapotproblémát ismerteti, felsorolva a probléma okát és a probléma megoldásához szükséges lépéseket.
Az érzékelőspecifikus állapotproblémák az Érzékelő állapotproblémái lapon jelennek meg, a tartományhoz kapcsolódó vagy összesített állapotproblémák pedig a Globális állapotproblémák lapon jelennek meg az alábbi táblázatokban leírtak szerint:
A tartományvezérlő nem érhető el egy érzékelő által
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelője korlátozott funkcionalitással rendelkezik a konfigurált tartományvezérlő csatlakozási problémái miatt. | Ez hatással van a Defender for Identity azon képességére, hogy észlelje a Defender for Identity érzékelő által figyelt tartományvezérlőkkel kapcsolatos gyanús tevékenységeket. | Győződjön meg arról, hogy a tartományvezérlők működőképesek és futnak, és hogy ez a Defender for Identity-érzékelő meg tudja nyitni számukra az LDAP-kapcsolatokat. Emellett a Beállítások területen minden telepített erdőhöz konfiguráljon címtárszolgáltatás-fiókot. | Közepes | Érzékelők állapotproblémáinak lapja |
Az érzékelőn lévő rögzítési hálózati adapterek egy része nem érhető el
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő összes kiválasztott rögzítési hálózati adaptere le van tiltva vagy leválasztva. | Egyes/az összes tartományvezérlő hálózati forgalmát már nem rögzíti a Defender for Identity érzékelője. Ez a probléma hatással van az adott tartományvezérlőkkel kapcsolatos gyanús tevékenységek észlelésére. | Győződjön meg arról, hogy ezek a kiválasztott rögzítési hálózati adapterek engedélyezve vannak és csatlakoztatva vannak a Defender for Identity érzékelőn. | Közepes | Érzékelők állapotproblémáinak lapja |
A címtárszolgáltatások felhasználójának hitelesítő adatai helytelenek
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A címtárszolgáltatások felhasználói fiókjának hitelesítő adatai helytelenek. | Ez a probléma hatással van az érzékelők azon képességére, hogy LDAP-lekérdezéseket használva észleljék a tartományvezérlőket. | - Standard AD-fiókok esetén: Ellenőrizze, hogy a Címtárszolgáltatások konfigurációs lapján szereplő felhasználónév, jelszó és tartomány helyes-e. - Csoportos felügyelt szolgáltatásfiókok esetén: Ellenőrizze, hogy a címtárszolgáltatások konfigurációs lapján szereplő felhasználónév és tartomány helyes-e. Ellenőrizze az összes többi gMSA-fiókelőfeltételt is, amelyet a Címtárszolgáltatás-fiókjavaslatok lapon talál. |
Közepes | Globális állapotproblémák lap |
Alacsony sikerességi arány az aktív névfeloldásban
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A felsorolt Defender identitásérzékelők az idő több mint 90%-ában nem oldják fel az IP-címeket az eszköznevekre az alábbi módszerekkel: - NTLM RPC-n keresztül -NetBIOS - Fordított DNS |
Ez hatással van a Defender for Identity észlelési képességeire, és növelheti a hamis pozitív riasztások számát. | - RPC-n keresztüli NTLM esetén: Ellenőrizze, hogy a 135-ös port nyitva van-e a Defender for Identity érzékelőinek bejövő kommunikációjához a környezet összes számítógépén. - Fordított DNS esetén: Ellenőrizze, hogy az érzékelők elérik-e a DNS-kiszolgálót, és hogy engedélyezve vannak-e a fordított keresési zónák. - NetBIOS esetén: Ellenőrizze, hogy a 137-ös port nyitva van-e a Defender for Identity érzékelők bejövő kommunikációjához a környezet összes számítógépén. Emellett győződjön meg arról, hogy a hálózati konfiguráció (például tűzfalak) nem akadályozza a megfelelő portokkal való kommunikációt. |
Alacsony | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Nem érkezett forgalom a tartományvezérlőtől
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Nem érkezett forgalom a tartományvezérlőről ezen a Defender for Identity-érzékelőn keresztül. | Ez a probléma azt jelezheti, hogy a porttükrözés a tartományvezérlőkről a Defender for Identity érzékelőre még nincs konfigurálva, vagy nem működik. | Ellenőrizze, hogy a porttükrözés megfelelően van-e konfigurálva a hálózati eszközökön. A Defender for Identity sensor capture NIC-ben tiltsa le ezeket a funkciókat a Speciális beállításokban: Szegmensek szenesítésének fogadása (IPv4) Szegmensek szenesítésének fogadása (IPv6) |
Közepes | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Rövidesen lejár a csak olvasható felhasználói jelszó
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Az entitások Active Directory-beli feloldásához használt írásvédett felhasználói jelszó kevesebb mint 30 nap múlva lejár. | Ha a felhasználó jelszava lejár, a Defender for Identity összes érzékelője leáll, és nem gyűjt új adatokat. | Módosítsa a tartomány kapcsolati jelszavát, majd frissítse a Címtárszolgáltatás-fiók jelszavát. | Közepes | Globális állapotproblémák lap |
Lejárt az írásvédett felhasználói jelszó
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A címtáradatok lekéréséhez használt írásvédett felhasználói jelszó lejárt. | Az identitáshoz készült Defender összes érzékelője leáll, vagy hamarosan leáll, és nem gyűjt új adatokat. | Módosítsa a tartomány kapcsolati jelszavát, majd frissítse a Címtárszolgáltatás-fiók jelszavát. | Magas | Globális állapotproblémák lap |
Az érzékelő elavult
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő elavult. | A Defender for Identity-érzékelő olyan verziót futtat, amely nem tud kommunikálni a Defender for Identity felhőinfrastruktúra használatával. | Frissítse manuálisan az érzékelőt, és ellenőrizze, hogy az érzékelő miért nem frissül automatikusan. Ha ez a beállítás nem működik, töltse le a legújabb érzékelőtelepítési csomagot, és távolítsa el és telepítse újra az érzékelőt. További információ: A Microsoft Defender for Identity érzékelő letöltése és a Microsoft Defender for Identity érzékelő telepítése. | Közepes | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Az érzékelő elérte a memória erőforráskorlátját
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő leállt, és automatikusan újraindul, hogy megvédje a tartományvezérlőt a memóriahiánytól. | A Defender for Identity-érzékelő saját maga kényszeríti ki a memóriakorlátozásokat, hogy a tartományvezérlő ne tapasztaljon erőforrás-korlátozásokat. Ez a probléma akkor fordul elő, ha a tartományvezérlő memóriahasználata magas. A tartományvezérlőről származó adatokat csak részben figyeli a rendszer. | Növelje a memória mennyiségét (RAM) a tartományvezérlőn, vagy adjon hozzá további tartományvezérlőket ezen a helyen a tartományvezérlő terhelésének jobb elosztása érdekében. | Közepes | Érzékelők állapotproblémáinak lapja |
Az érzékelőszolgáltatás nem indult el
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity sensor szolgáltatás legalább 30 percig nem indult el. | Ez a probléma befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. | A Defender for Identity-érzékelő naplóinak monitorozásával megismerheti a Defender for Identity sensor szolgáltatás meghibásodásának kiváltó okát. | Magas | Érzékelők állapotproblémáinak lapja |
Az érzékelő nem kommunikál
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő nem kommunikált. A riasztás alapértelmezett időtartama 5 perc. | A hálózati forgalmat a hálózati adapter már nem rögzíti a Defender for Identity érzékelőn. Ez hatással van a Defender for Identity gyanús tevékenységek észlelésére, mivel a hálózati forgalom nem tudja elérni a Defender for Identity felhőszolgáltatást. | Ellenőrizze, hogy a Defender for Identity érzékelő és a Defender for Identity felhőszolgáltatás közötti kommunikációhoz használt portot nincsenek-e útválasztók vagy tűzfalak blokkolva. | Közepes | Érzékelők állapotproblémáinak lapja |
Egyes Windows-események elemzése nem történik meg
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő több eseményt kap, mint amennyit feldolgozhat. | Egyes Windows-események elemzése nem történik meg. Ez befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. | Szükség esetén fontolja meg további processzorok és memória hozzáadását. Ha önálló Defender for Identity-érzékelőt használ, ellenőrizze, hogy csak a szükséges események lesznek továbbítva az érzékelőnek. Vagy próbáljon meg továbbítani néhány eseményt egy másik Defender for Identity-érzékelőnek. | Közepes | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Nem sikerült elemezni a teljes hálózati forgalmat
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő több hálózati forgalmat kap, mint amennyit feldolgozhat. | Néhány hálózati forgalom nem elemezhető. Ez a probléma befolyásolhatja a Defender identitásérzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. | Szükség esetén fontolja meg további processzorok és memória hozzáadását. Ha önálló Defender for Identity-érzékelőt használ, csökkentse a figyelt tartományvezérlők számát. Ez a probléma akkor is előfordulhat, ha VMware virtuális gépeken használ tartományvezérlőket. A problémák elkerülése érdekében ellenőrizheti, hogy a következő beállítások 0-ra vannak-e állítva vagy le vannak tiltva a virtuális gépen (a Windows operációs rendszerben, nem a VMware beállításaiban): - Nagy méretű kiszervezés v2 (IPv4) - IPv4 TSO kiszervezése A nevek a VMware verziójától függően változhatnak. További információt a VMware dokumentációjában talál. |
Közepes | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Néhány ETW-esemény kimarad az elemzésből
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő több Eseménykövetést kap a Windows (ETW) eseményeihez, mint amennyit feldolgozhat. | A Rendszer nem elemzi a Windows (ETW) egyes eseménykövetési eseményeit. Ez befolyásolhatja a Defender for Identity érzékelő által figyelt tartományvezérlőkről származó gyanús tevékenységek észlelését. | Szükség esetén fontolja meg további processzorok és memória hozzáadását. | Közepes | Érzékelők állapotproblémái lap és Globális állapotproblémák lap |
Olyan operációs rendszeren futó érzékelő, amely hamarosan nem támogatott lesz
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő egy olyan operációs rendszeren fut, amely hamarosan nem támogatott lesz. | A Windows Server 2012 és 2012 R2 2023. október 10-én véget ért a támogatásnak. További részletek a következő címen olvashatók: https://aka.ms/mdi/oseos | A kiszolgálón lévő operációs rendszert frissíteni kell a legújabb támogatott operációs rendszerre. További részletekért lásd: https://aka.ms/mdi/os | Közepes | Érzékelők állapotproblémáinak lapja |
Nem támogatott operációs rendszeren futó érzékelő
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő nem támogatott operációs rendszeren fut. | A Windows Server 2012 és 2012 R2 2023. október 10-én véget ért a támogatásnak. További részletek a következő helyen találhatók: https://aka.ms/mdi/oseos | A kiszolgálón lévő operációs rendszert frissíteni kell a legújabb támogatott operációs rendszerre. További részletekért lásd: https://aka.ms/mdi/os | Magas | Érzékelők állapotproblémáinak lapja |
Az érzékelő problémái vannak a csomagrögzítési összetevővel
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Defender for Identity érzékelő Npcap-illesztőprogramok helyett WinPcap-illesztőprogramokat használ. | Minden ügyfélnek Npcap illesztőprogramokat kell használnia a WinPcap illesztőprogramok helyett. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag telepíti az Npcap 1.0 OEM-et. | Telepítse az Npcap-t a következő útmutató szerint: https://aka.ms/mdi/npcap | Magas | Érzékelők állapotproblémáinak lapja |
A Defender for Identity érzékelő a minimálisan szükséges verziónál régebbi Npcap-verziót futtat. | A minimális Npcap-verzió támogatott: 1.0. A Defender for Identity 2.184-es verziójától kezdve a telepítőcsomag telepíti az Npcap 1.0 OEM-et. | Az Npcap frissítése a következő útmutató szerint: https://aka.ms/mdi/npcap | Közepes | Érzékelők állapotproblémáinak lapja |
A Defender for Identity érzékelő olyan Npcap-összetevőt futtat, amely nincs szükség konfigurálva. | Az Npcap telepítése nem tartalmazza a szükséges konfigurációs beállításokat. | Telepítse az Npcap-t a következő útmutató szerint: https://aka.ms/mdi/npcap | Magas | Érzékelők állapotproblémáinak lapja |
Az NTLM naplózása nincs engedélyezve
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Az NTLM-naplózás nincs engedélyezve. | Az NTLM-naplózás (8004-s eseményazonosító esetén) nincs engedélyezve a kiszolgálón. (Ezt a konfigurációt hetente egyszer ellenőrzi a rendszer, érzékelőnként). | Engedélyezze az NTLM-naplózási eseményeket a 8004-es eseményazonosító szakaszban ismertetett útmutatásnak megfelelően, a Windows eseménygyűjtemény konfigurálása lapon. | Közepes | Érzékelők állapotproblémáinak lapja |
A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. | A Címtárszolgáltatások speciális naplózási konfigurációja nem tartalmazza a szükséges kategóriákat és alkategóriákat. | Engedélyezze a Címtárszolgáltatások speciális naplózási eseményeit. További információ: Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz. | Közepes | Globális állapotproblémák lap |
A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. | A Címtárszolgáltatások objektumnaplózási konfigurációja nem tartalmazza a szükséges objektumtípusokat és engedélyeket. | Engedélyezze a Címtárszolgáltatások objektumnaplózási eseményeit a Tartományobjektum-naplózás konfigurálása szakaszban, a Windows-eseménygyűjtemény konfigurálása lapon ismertetett útmutatásnak megfelelően. | Közepes | Globális állapotproblémák lap |
A konfigurációs tároló naplózása nincs engedélyezve szükség szerint
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
A konfigurációs tároló naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. | A címtárszolgáltatások naplózása a tartomány konfigurációs tárolóján nincs engedélyezve szükség szerint. | Engedélyezze a címtárszolgáltatások naplózását a tartomány konfigurációs tárolóján a Naplózási szabályzatok konfigurálása szakaszban ismertetett útmutatásnak megfelelően, a Windows eseménygyűjtemény konfigurálása lapon. | Közepes | Globális állapotproblémák lap |
Az ADFS-tároló naplózása nincs engedélyezve szükség szerint
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Az ADFS-tároló naplózása nincs engedélyezve szükség szerint. (Ezt a konfigurációt tartományonként naponta egyszer érvényesíti a rendszer. | Az ADFS-tároló címtárszolgáltatás-naplózása nincs engedélyezve szükség szerint. | Engedélyezze a Címtárszolgáltatások naplózását az ADFS-tárolón a Windows-eseménygyűjtés konfigurálása lap AD FS- (AD FS)-naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) |
Közepes | Globális állapotproblémák lap |
Az energia mód nincs konfigurálva az optimális processzorteljesítményhez
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Az energia mód nincs konfigurálva az optimális processzorteljesítményhez. (Ezt a konfigurációt naponta egyszer érvényesíti a rendszer, érzékelőnként). | Az operációs rendszer energia üzemmódja nincs konfigurálva az optimális processzorteljesítmény-beállításokhoz. Ez a probléma befolyásolhatja a kiszolgáló teljesítményét és az érzékelők gyanús tevékenységek észlelésének képességét. | Tegye az alábbiak egyikét: – Konfigurálja a Defender for Identity-érzékelőt futtató gép tápellátási beállítását nagy teljesítményűre - Állítsa a processzor minimális és maximális állapotát 100-ra További információkért tekintse meg a Defender for Identity előfeltételei lap Érzékelőkövetelmények és javaslatok szakaszát. |
Alacsony | Érzékelők állapotproblémáinak lapja |
Az érzékelő nem tudott írni az egyéni napló elérési útjára
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Az érzékelő nem tudott írni az egyéni napló elérési útjára. | Az érzékelő konfigurációjában megadott egyéni naplóútvonal nem hozható létre. | 1. Állítsa le a és AATPSensor a AATPSensorUpdater szolgáltatásokat. 2. Módosítsa az SensorCustomLogLocation érzékelő konfigurációs fájlját érvényes elérési útra, vagy állítsa null értékre. 3. Indítsa újra az és AATPSensor a AATPSensorUpdater szolgáltatásokat. |
Alacsony | Érzékelők állapotproblémáinak lapja |
Radius-nyilvántartási (VPN-integrációs) adatbetöltési hibák
Riasztás | Leírás | Resolution (Osztás) | Súlyosság | Megjelenítve a következőben: |
---|---|---|---|---|
Radius-nyilvántartási (VPN-integrációs) adatbetöltési hibák. | A felsorolt Defender identitásérzékelők radius-nyilvántartási (VPN-integrációs) adatbetöltési hibákkal rendelkeznek. | Ellenőrizze, hogy a Defender for Identity konfigurációs beállításaiban található megosztott titkos kód megegyezik-e a VPN-kiszolgálóval a Defender for Identity szolgáltatásban a VPN-integrációs oldal VPN-integrációs lapján, a Vpn konfigurálása a Defender for Identity szolgáltatásban című szakaszban ismertetett útmutatásnak megfelelően. | Alacsony | Állapotproblémák lap |
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: