Microsoft Defender untuk Identitas masalah kesehatan
Halaman Masalah Kesehatan Microsoft Defender untuk Identitas mencantumkan masalah kesehatan saat ini untuk penyebaran dan sensor Defender for Identity Anda, yang memberi tahu Anda tentang masalah apa pun dalam penyebaran Defender for Identity Anda.
Halaman masalah kesehatan
Halaman masalah Microsoft Defender untuk Identitas Health memberi tahu Anda ketika ada masalah dengan ruang kerja Defender for Identity Anda, dengan meningkatkan masalah kesehatan. Untuk mengakses halaman, ikuti langkah-langkah berikut:
Di Microsoft Defender XDR, di bawah Identitas, pilih Masalah kesehatan.
Halaman Masalah kesehatan muncul, tempat Anda dapat melihat masalah kesehatan untuk lingkungan Pertahanan untuk Identitas umum dan sensor tertentu.
Defender for Identity mendukung jenis pemberitahuan kesehatan berikut:
- Masalah kesehatan terkait domain atau agregat, tercantum di tab Masalah kesehatan global
- Masalah kesehatan khusus sensor, tercantum di tab Masalah kesehatan sensor
Filter masalah menurut status, nama masalah, atau tingkat keparahan untuk membantu Anda menemukan masalah yang Anda cari.
Misalnya:
Pilih masalah apa pun untuk detail selengkapnya dan opsi untuk menutup atau menekan masalah. Misalnya:
Masalah kesehatan
Bagian ini menjelaskan semua masalah kesehatan untuk setiap komponen, mencantumkan penyebab dan langkah-langkah yang diperlukan untuk menyelesaikan masalah.
Masalah kesehatan khusus sensor ditampilkan di tab Masalah kesehatan sensor dan masalah terkait domain atau kesehatan agregat ditampilkan di tab Masalah kesehatan global seperti yang dirinci dalam tabel berikut:
Pengendali domain tidak dapat dijangkau oleh sensor
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity memiliki fungsionalitas terbatas karena masalah konektivitas ke pengontrol domain yang dikonfigurasi. | Hal ini memengaruhi kemampuan Defender for Identity untuk mendeteksi aktivitas mencurigakan yang terkait dengan pengendali domain yang dipantau oleh sensor Defender for Identity ini. | Pastikan pengendali domain aktif dan berjalan dan sensor Defender for Identity ini dapat membuka koneksi LDAP kepada mereka. Selain itu, di Pengaturan pastikan untuk mengonfigurasi akun Layanan Direktori untuk setiap forest yang disebarkan. | Medium | Tab masalah kesehatan sensor |
Semua/Beberapa adaptor jaringan pengambilan pada sensor tidak tersedia
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Semua/Beberapa adaptor jaringan pengambilan yang dipilih pada sensor Pertahanan untuk Identitas dinonaktifkan atau terputus. | Lalu lintas jaringan untuk beberapa/semua pengendali domain tidak lagi ditangkap oleh sensor Defender for Identity. Masalah ini memengaruhi kemampuan untuk mendeteksi aktivitas yang mencurigakan, yang terkait dengan pengendali domain tersebut. | Pastikan adaptor jaringan tangkapan yang dipilih ini pada sensor Pertahanan untuk Identitas diaktifkan dan tersambung. | Medium | Tab masalah kesehatan sensor |
Informasi masuk pengguna layanan direktori salah
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Kredensial untuk akun pengguna layanan direktori salah. | Masalah ini memengaruhi kemampuan sensor untuk mendeteksi aktivitas menggunakan kueri LDAP terhadap pengendali domain. | - Untuk akun AD standar : Verifikasi bahwa nama pengguna, kata sandi, dan domain di halaman konfigurasi layanan Direktori sudah benar. - Untuk Akun Layanan Terkelola grup: Verifikasi bahwa nama pengguna dan domain di halaman konfigurasi Layanan Direktori sudah benar. Periksa juga semua prasyarat akun gMSA lainnya yang dijelaskan di halaman rekomendasi akun Layanan Direktori. |
Medium | Tab Masalah kesehatan global |
Tingkat keberhasilan rendah resolusi nama aktif
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity yang tercantum gagal menyelesaikan alamat IP ke nama perangkat lebih dari 90% dari waktu menggunakan metode berikut: - NTLM melalui RPC -Netbios - Dns Terbalik |
Hal ini memengaruhi kemampuan deteksi Defender for Identity dan dapat meningkatkan jumlah alarm positif palsu. | - Untuk NTLM melalui RPC: Periksa apakah port 135 terbuka untuk komunikasi masuk dari sensor Defender for Identity di semua komputer di lingkungan. - Untuk DNS terbalik: Periksa apakah sensor dapat mencapai server DNS dan Zona Pencarian Terbalik diaktifkan. - Untuk NetBIOS: Periksa apakah port 137 terbuka untuk komunikasi masuk dari sensor Defender for Identity pada semua komputer di lingkungan. Selain itu, pastikan bahwa konfigurasi jaringan (seperti firewall) tidak mencegah komunikasi ke port yang relevan. |
Kurang Penting | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Tidak ada lalu lintas yang diterima dari pengendali domain
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Tidak ada lalu lintas yang diterima dari pengendali domain melalui sensor Pertahanan untuk Identitas ini. | Masalah ini mungkin menunjukkan bahwa pencerminan port dari pengendali domain ke sensor Defender for Identity belum dikonfigurasi atau tidak berfungsi. | Verifikasi bahwa pencerminan port dikonfigurasi dengan benar pada perangkat jaringan Anda. Pada NIC penangkapan sensor Defender for Identity, nonaktifkan fitur-fitur ini di Pengaturan Tingkat Lanjut: Menerima Coalescing Segmen (IPv4) Menerima Coalescing Segmen (IPv6) |
Medium | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Kata sandi pengguna baca-saja untuk segera kedaluwarsa
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Kata sandi pengguna baca-saja, yang digunakan untuk melakukan resolusi entitas terhadap Direktori Aktif, akan kedaluwarsa dalam waktu kurang dari 30 hari. | Jika kata sandi untuk pengguna ini kedaluwarsa, semua sensor Defender for Identity berhenti berjalan dan tidak ada data baru yang dikumpulkan. | Ubah kata sandi konektivitas domain lalu perbarui kata sandi akun Layanan Direktori. | Medium | Tab Masalah kesehatan global |
Kata sandi pengguna baca-saja kedaluwarsa
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Kata sandi pengguna baca-saja, digunakan untuk mendapatkan data direktori, kedaluwarsa. | Semua sensor Defender for Identity berhenti berjalan, atau akan segera berhenti berjalan, dan tidak ada data baru yang dikumpulkan. | Ubah kata sandi konektivitas domain lalu perbarui kata sandi akun Layanan Direktori. | Sangat Penting | Tab Masalah kesehatan global |
Sensor kedaluwarsa
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity sudah kedaluarsa. | Sensor Defender for Identity menjalankan versi yang tidak dapat berkomunikasi dengan infrastruktur cloud Defender for Identity. | Perbarui sensor secara manual dan periksa untuk melihat mengapa sensor tidak diperbarui secara otomatis. Jika opsi ini tidak berfungsi, unduh paket penginstalan sensor terbaru dan hapus instalan dan instal ulang sensor. Untuk informasi selengkapnya, lihat Mengunduh sensor Microsoft Defender untuk Identitas dan Menginstal sensor Microsoft Defender untuk Identitas. | Medium | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Sensor mencapai batas sumber daya memori
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity berhenti sendiri dan memulai ulang secara otomatis untuk melindungi pengendali domain dari kondisi memori yang rendah. | Sensor Defender for Identity memberlakukan batasan memori pada dirinya sendiri untuk mencegah pengendali domain mengalami keterbatasan sumber daya. Masalah ini terjadi ketika penggunaan memori pada pengendali domain tinggi. Data dari pengendali domain ini hanya dipantau sebagian. | Tingkatkan jumlah memori (RAM) pada pengendali domain atau tambahkan lebih banyak pengendali domain di situs ini untuk mendistribusikan beban pengendali domain ini dengan lebih baik. | Medium | Tab masalah kesehatan sensor |
Layanan sensor gagal dimulai
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Layanan sensor Defender for Identity gagal dimulai setidaknya selama 30 menit. | Masalah ini dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh sensor Defender for Identity ini. | Pantau log sensor Defender for Identity untuk memahami akar penyebab kegagalan layanan sensor Defender for Identity. | Sangat Penting | Tab masalah kesehatan sensor |
Sensor berhenti berkomunikasi
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Belum ada komunikasi dari sensor Defender for Identity. Rentang waktu default untuk pemberitahuan ini adalah 5 menit. | Lalu lintas jaringan tidak lagi ditangkap oleh adaptor jaringan pada sensor Pertahanan untuk Identitas. Ini memengaruhi kemampuan Defender for Identity untuk mendeteksi aktivitas yang mencurigakan, karena lalu lintas jaringan tidak dapat menjangkau layanan cloud Defender for Identity. | Periksa apakah port yang digunakan untuk komunikasi antara sensor Defender for Identity dan layanan cloud Defender for Identity tidak diblokir oleh router atau firewall apa pun. | Medium | Tab masalah kesehatan sensor |
Beberapa peristiwa Windows tidak dianalisis
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity menerima lebih banyak peristiwa daripada yang dapat diproses. | Beberapa peristiwa Windows tidak sedang dianalisis. Hal ini dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh sensor Defender for Identity ini. | Pertimbangkan untuk menambahkan lebih banyak prosesor dan memori sesuai kebutuhan. Jika Anda menggunakan sensor Defender for Identity mandiri, verifikasi bahwa hanya peristiwa yang diperlukan yang diteruskan ke sensor. Atau, coba teruskan beberapa peristiwa ke sensor Defender for Identity lain. | Medium | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Beberapa lalu lintas jaringan tidak dapat dianalisis
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity menerima lebih banyak lalu lintas jaringan daripada yang dapat diproses. | Beberapa lalu lintas jaringan tidak dapat dianalisis. Masalah ini dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh sensor Pertahanan untuk Identitas ini. | Pertimbangkan untuk menambahkan lebih banyak prosesor dan memori sesuai kebutuhan. Jika Anda menggunakan sensor Defender for Identity mandiri, kurangi jumlah pengendali domain yang dipantau. Masalah ini juga dapat terjadi jika Anda menggunakan pengontrol domain pada komputer virtual VMware. Untuk menghindari masalah ini, Anda dapat memeriksa apakah pengaturan berikut diatur ke 0 atau Dinonaktifkan di komputer virtual (di OS Windows, bukan di pengaturan VMware): - Besar Kirim Offload V2 (IPv4) - IPv4 TSO Offload Nama dapat bervariasi tergantung pada versi VMware Anda. Untuk informasi selengkapnya, lihat dokumentasi VMware Anda. |
Medium | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Beberapa kejadian ETW tidak dianalisis
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity menerima lebih banyak peristiwa Pelacakan Peristiwa untuk Windows (ETW) daripada yang dapat diproses. | Beberapa peristiwa Pelacakan Peristiwa untuk Windows (ETW) tidak dianalisis. Hal ini dapat memengaruhi kemampuan untuk mendeteksi aktivitas mencurigakan yang berasal dari pengendali domain yang dipantau oleh sensor Defender for Identity ini. | Pertimbangkan untuk menambahkan lebih banyak prosesor dan memori sesuai kebutuhan. | Medium | Tab Masalah kesehatan sensor dan tab Masalah kesehatan global |
Sensor yang berjalan pada sistem operasi yang akan segera menjadi tidak didukung
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity berjalan pada sistem operasi yang akan segera menjadi tidak didukung. | Windows Server 2012 dan 2012 R2 mencapai akhir dukungan pada 10 Oktober 2023. Detail lebih lanjut dapat menjadi fount di: https://aka.ms/mdi/oseos | Sistem operasi pada server harus ditingkatkan ke sistem operasi terbaru yang didukung. Untuk detail selengkapnya, lihat: https://aka.ms/mdi/os | Medium | Tab masalah kesehatan sensor |
Sensor yang berjalan pada sistem operasi yang tidak didukung
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity berjalan pada sistem operasi yang tidak didukung. | Windows Server 2012 dan 2012 R2 mencapai akhir dukungan pada 10 Oktober 2023. Detail selengkapnya dapat ditemukan di: https://aka.ms/mdi/oseos | Sistem operasi pada server harus ditingkatkan ke sistem operasi terbaru yang didukung. Untuk detail selengkapnya, lihat: https://aka.ms/mdi/os | Sangat Penting | Tab masalah kesehatan sensor |
Sensor memiliki masalah dengan komponen pengambilan paket
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor Defender for Identity menggunakan driver WinPcap alih-alih driver Npcap. | Semua pelanggan harus menggunakan driver Npcap alih-alih driver WinPcap. Dimulai dengan Defender for Identity versi 2.184, paket penginstalan menginstal Npcap 1.0 OEM. | Instal Npcap sesuai dengan panduan seperti yang dijelaskan dalam: https://aka.ms/mdi/npcap | Kurang Penting | Tab masalah kesehatan sensor |
| Sensor Defender for Identity menjalankan versi Npcap yang lebih lama dari versi minimum yang diperlukan. | Versi Npcap minimum yang didukung adalah 1.0. Dimulai dengan Defender for Identity versi 2.184, paket penginstalan menginstal Npcap 1.0 OEM. | Tingkatkan Npcap sesuai dengan panduan seperti yang dijelaskan dalam: https://aka.ms/mdi/npcap | Medium | Tab masalah kesehatan sensor |
| Sensor Defender for Identity menjalankan komponen Npcap yang tidak dikonfigurasi sesuai kebutuhan. | Penginstalan Npcap tidak memiliki opsi konfigurasi yang diperlukan. | Instal Npcap sesuai dengan panduan seperti yang dijelaskan dalam: https://aka.ms/mdi/npcap | Sangat Penting | Tab masalah kesehatan sensor |
Audit NTLM tidak diaktifkan
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Audit NTLM tidak diaktifkan. | Audit NTLM (untuk ID peristiwa 8004) tidak diaktifkan di server. (Konfigurasi ini divalidasi seminggu sekali, per sensor). | Aktifkan peristiwa Audit NTLM sesuai dengan panduan seperti yang dijelaskan di bagian ID Peristiwa 8004 , di halaman Konfigurasikan koleksi Peristiwa Windows. | Medium | Tab masalah kesehatan sensor |
Audit Tingkat Lanjut Layanan Direktori tidak diaktifkan sesuai kebutuhan
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Audit Tingkat Lanjut Layanan Direktori tidak diaktifkan sesuai kebutuhan. (Konfigurasi ini divalidasi sekali sehari, per domain). | Konfigurasi Audit Tingkat Lanjut Layanan Direktori tidak menyertakan semua kategori dan subkatoner sesuai kebutuhan. | Aktifkan peristiwa Audit Tingkat Lanjut Layanan Direktori. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan audit untuk log peristiwa Windows. | Medium | Tab Masalah kesehatan global |
Audit Objek Layanan Direktori tidak diaktifkan sesuai kebutuhan
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Audit Objek Layanan Direktori tidak diaktifkan sesuai kebutuhan. (Konfigurasi ini divalidasi sekali sehari, per domain). | Konfigurasi Audit Objek Layanan Direktori tidak menyertakan semua jenis objek dan izin sesuai kebutuhan. | Aktifkan peristiwa Audit Objek Layanan Direktori sesuai dengan panduan seperti yang dijelaskan di bagian Mengonfigurasi audit objek domain, di halaman Konfigurasikan koleksi Peristiwa Windows. | Medium | Tab Masalah kesehatan global |
Audit pada kontainer Konfigurasi tidak diaktifkan sesuai kebutuhan
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Audit pada kontainer Konfigurasi tidak diaktifkan sesuai kebutuhan. (Konfigurasi ini divalidasi sekali sehari, per domain). | Audit Layanan Direktori pada kontainer Konfigurasi Domain tidak diaktifkan sesuai kebutuhan. | Aktifkan Audit Layanan Direktori pada kontainer Konfigurasi Domain sesuai dengan panduan seperti yang dijelaskan di bagian Konfigurasi Kebijakan Audit, di halaman Konfigurasikan koleksi Peristiwa Windows. | Medium | Tab Masalah kesehatan global |
Audit pada kontainer ADFS tidak diaktifkan sesuai kebutuhan
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Audit pada kontainer ADFS tidak diaktifkan sesuai kebutuhan. (Konfigurasi ini divalidasi sekali sehari, per domain). | Audit Layanan Direktori pada kontainer ADFS tidak diaktifkan sesuai kebutuhan. | Aktifkan Audit Layanan Direktori pada kontainer ADFS sesuai dengan panduan seperti yang dijelaskan di bagian Konfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS), di halaman Konfigurasikan koleksi Peristiwa Windows. | Medium | Tab Masalah kesehatan global |
Mode daya tidak dikonfigurasi untuk performa prosesor yang optimal
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Mode daya tidak dikonfigurasi untuk performa prosesor yang optimal. (Konfigurasi ini divalidasi sekali sehari, per sensor). | Mode daya sistem operasi tidak dikonfigurasi ke pengaturan performa prosesor yang optimal. Masalah ini dapat memengaruhi performa server dan kemampuan sensor untuk mendeteksi aktivitas yang mencurigakan. | Lakukan salah satu hal berikut ini: - Mengonfigurasi opsi daya komputer yang menjalankan sensor Defender for Identity ke Performa Tinggi - Atur status prosesor minimum dan maksimum ke 100 Untuk informasi selengkapnya, lihat bagian Persyaratan dan rekomendasi sensor di halaman Prasyarat Pertahanan untuk Identitas. |
Kurang Penting | Tab masalah kesehatan sensor |
Sensor gagal menulis ke jalur log kustom
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Sensor gagal menulis ke jalur log kustom. | Jalur log kustom yang disediakan dalam konfigurasi sensor tidak dapat dibuat. | 1. Hentikan AATPSensorUpdater layanan dan AATPSensor . 2. Ubah SensorCustomLogLocation dalam file konfigurasi sensor ke jalur yang valid atau atur ke null. 3. Mulai AATPSensorUpdater layanan dan AATPSensor lagi. |
Kurang Penting | Tab masalah kesehatan sensor |
Kegagalan penyerapan data akuntansi Radius (integrasi VPN)
| Peringatan | Deskripsi | Resolusi | Tingkat keparahan | Ditampilkan dalam |
|---|---|---|---|---|
| Kegagalan penyerapan data akuntansi Radius (integrasi VPN). | Sensor Defender for Identity yang tercantum memiliki kegagalan penyerapan data akuntansi radius (integrasi VPN). | Validasi bahwa rahasia bersama di pengaturan konfigurasi Defender for Identity cocok dengan server VPN Anda, sesuai dengan panduan yang dijelaskan bagian Mengonfigurasi VPN di Pertahanan untuk Identitas , di halaman integrasi Vpn Defender for Identity. | Kurang Penting | Halaman masalah kesehatan |