[Microsoft Defender for Identityの正常性の問題] ページには、Defender for Identity の展開とセンサーに関する現在の正常性の問題が一覧表示され、Defender for Identity デプロイの問題が警告されます。
[正常性の問題] ページ
[Microsoft Defender for Identity正常性の問題] ページでは、正常性の問題を発生させることで、Defender for Identity ワークスペースに問題が発生したタイミングを知ることができます。 ページにアクセスするには、次の手順に従います。
Microsoft Defender XDRで、[ID] で [正常性の問題] を選択します。
[ 正常性の問題 ] ページが表示され、一般的な Defender for Identity 環境と特定のセンサーの両方の正常性の問題を確認できます。
Defender for Identity では、次の種類の正常性アラートがサポートされています。
- [グローバル正常性の問題] タブに一覧表示されているドメイン関連または集計された正常性の問題
- [センサーの正常性の問題] タブに一覧表示されているセンサー固有の正常性の問題
問題を状態、問題名、または重大度でフィルター処理して、探している問題を見つけるのに役立ちます。
例:
![[正常性の問題] ページのスクリーンショット。](media/health-issues/global-health-issues.png)
問題の詳細と、問題を閉じるか抑制するオプションを選択します。 例:
![[正常性の問題] ページのスクリーンショット。](media/health-issues/global-health-issues.png#lightbox)
正常性の問題の状態
Microsoft Defender for Identityの正常性の問題は、状態と処理方法に応じて異なる状態になることがあります。
- 開ける: 正常性の問題は開いているとマークされます。
- クローズド:正常性の問題は、基になる問題が解決Microsoft Defender for Identity検出されると、自動的に Closed としてマークされます。 Azure ATP (ワークスペース名) 管理者ロールがある場合は、正常性の問題を手動で閉じることもできます。
- 抑制: Azure ATP (ワークスペース名) 管理者のアクセス許可がある場合は、正常性アラートを 7 日間抑制できます。 予期される一時的な既知の問題 (メンテナンスのためにマシンを停止するなど) を認識している場合は、正常性アラートを抑制します。
たとえば、メンテナンスのためにドメイン コントローラーがオフラインになった場合、"センサーが通信を停止しました" というアラートがトリガーされる可能性があります。 API を使用して、アラートの状態を [開く] から [抑制済み] に変更できます。 ドメイン コントローラーがオンラインに戻ったら、状態を [開く] に戻し、問題が解決されたときにアラートMicrosoft Defender for Identity自動的に閉じさせます。
正常性の問題
このセクションでは、各コンポーネントのすべての正常性の問題について説明し、問題を解決するために必要な原因と手順を示します。
センサー固有の正常性の問題は [ センサーの正常性の問題 ] タブに表示され、ドメインに関連する正常性の問題または集計された正常性の問題は、次の表に示すように [ グローバル正常性の問題 ] タブに表示されます。
| 通知 | 説明 | 解決方法 | 重要度 | に表示されます | センサーのバージョンでサポートされています |
|---|---|---|---|---|---|
| VMware で実行されているセンサーのネットワーク構成の不一致 | 一覧に示されている Defender for Identity センサーがインストールされている仮想マシンに、ネットワーク構成の不一致があります。 この問題は、センサーのパフォーマンスと信頼性に影響する可能性があります。 | LSO (LSO) を無効にするなど、ネットワーク インターフェイスの設定を確認し、 こちらの手順に従います。 | 高 | [センサーの正常性に関する問題] タブ | 2.x |
| センサーによってドメイン コントローラーに到達できない | Defender for Identity センサーには、構成されたドメイン コントローラーへの接続の問題が原因で機能が制限されています。 これは、この Defender for Identity センサーによって監視されるドメイン コントローラーに関連する疑わしいアクティビティを検出する Defender for Identity の機能に影響します。 | ドメイン コントローラーが稼働していることと、この Defender for Identity センサーがそれらに対する LDAP 接続を開くことができることを確認します。 さらに、[ 設定] で、デプロイされたすべてのフォレストのディレクトリ サービス アカウントを構成してください。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| Defender for Identity センサーで選択されているキャプチャ ネットワーク アダプターのすべて/一部が無効または切断されています | 一部またはすべてのドメイン コントローラーのネットワーク トラフィックは、Defender for Identity センサーによってキャプチャされなくなりました。 この問題は、これらのドメイン コントローラーに関連する疑わしいアクティビティを検出する機能に影響します。 | Defender for Identity センサーで選択したキャプチャ ネットワーク アダプターが有効になっており、接続されていることを確認します。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| ディレクトリ サービスのユーザー資格情報が正しくありません | ディレクトリ サービス ユーザー アカウントの資格情報が正しくありません。 この問題は、ドメイン コントローラーに対する LDAP クエリを使用してアクティビティを検出するセンサーの機能に影響します。 | - 標準 の AD アカウントの場合: [ディレクトリ サービス の構成] ページのユーザー名、パスワード、ドメインが正しいことを確認します。 - グループのマネージド サービス アカウントの場合:[ディレクトリ サービス ] 構成ページのユーザー名とドメインが正しいことを確認します。 また、「ディレクトリ サービス アカウントの推奨事項」ページで説明されている他のすべての gMSA アカウントの前提条件もチェックします。 |
中 | [グローバル正常性の問題] タブ | 2.x |
| アクティブな名前解決の成功率が低い | 一覧表示されている Defender for Identity センサーは、次の方法を使用して、90% を超える時間のデバイス名に IP アドレスを解決できない。 - RPC 経由の NTLM - NetBIOS - 逆引き DNS。 この問題は Defender for Identity の検出機能に影響し、誤検知アラームの数が増える可能性があります。 |
- NTLM over RPC の場合: 環境内のすべてのコンピューターで Defender for Identity センサーからの受信通信用にポート 135 が開かれていることを確認します。 - 逆引き DNS の場合: センサーが DNS サーバーに到達できることと、逆引き参照ゾーンが有効になっていることを確認します。 - NetBIOS の場合: 環境内のすべてのコンピューターで Defender for Identity センサーからの受信通信用にポート 137 が開かれていることを確認します。 さらに、ネットワーク構成 (ファイアウォールなど) が関連するポートへの通信を妨げていることを確認します。 |
低 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | 2.x |
| ドメイン コントローラーから受信したトラフィックがない | この Defender for Identity センサーを介してドメイン コントローラーからトラフィックが受信されませんでした。 この問題は、ドメイン コントローラーから Defender for Identity センサーへのポート ミラーリングがまだ構成されていないか、動作していないことを示している可能性があります。 |
ポート ミラーリングがネットワーク デバイスで正しく構成されていることを確認します。 Defender for Identity センサーキャプチャ NIC で、[詳細設定] で次の機能を無効にします。 Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
中 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | 2.x |
| 読み取り専用ユーザー パスワードの有効期限がまもなく切れる | Active Directory に対するエンティティの解決を実行するために使用される読み取り専用ユーザー パスワードは、30 日以内に有効期限が切れようとしています。 このユーザーのパスワードの有効期限が切れると、すべての Defenders for Identity センサーの実行が停止し、新しいデータは収集されません。 | ドメイン接続パスワードを変更し、 Directory Service アカウントのパスワードを更新 します。 | 中 | [グローバル正常性の問題] タブ | 2.x |
| 読み取り専用ユーザー パスワードの有効期限が切れています | ディレクトリ データの取得に使用される読み取り専用ユーザー パスワードの有効期限が切れています。 Defender for Identity センサーはすべて実行を停止するか、すぐに実行を停止し、新しいデータは収集されません。 | ドメイン接続パスワードを変更し、 Directory Service アカウントのパスワードを更新 します。 | 高 | [グローバル正常性の問題] タブ | 2.x |
| センサーの古い | Defender for Identity センサーは、Defender for Identity クラウド インフラストラクチャと通信できないバージョンを実行しています。 | センサーを手動で更新し、チェックして、センサーが自動的に更新されない理由を確認します。 このオプションが機能しない場合は、最新のセンサー インストール パッケージをダウンロードし、センサーをアンインストールして再インストールします。 詳細については、「Microsoft Defender for Identity センサーをダウンロードする」と「Microsoft Defender for Identity センサーをインストールする」を参照してください。 | 中 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | すべて |
| センサーがメモリ リソースの制限に達しました | Defender for Identity センサーはそれ自体を停止し、メモリ不足状態からドメイン コントローラーを保護するために自動的に再起動します。 Defender for Identity センサーは、ドメイン コントローラーでリソースの制限が発生しないように、それ自体にメモリ制限を適用します。 この問題は、ドメイン コントローラーのメモリ使用量が多い場合に発生します。 このドメイン コントローラーからのデータは、部分的にのみ監視されます。 | ドメイン コントローラーのメモリ (RAM) の量を増やすか、このサイトにドメイン コントローラーを追加して、このドメイン コントローラーの負荷をより適切に分散します。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| センサー サービスの開始に失敗しました | Defender for Identity センサー サービスは、少なくとも 30 分間開始できませんでした。 この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 | Defender for Identity センサー のログを監視して、Defender for Identity センサー サービスの失敗の根本原因を理解します。 | 高 | [センサーの正常性に関する問題] タブ | すべて |
| センサーの通信が停止しました | Defender for Identity センサーからの通信はありません。 このアラートの既定の期間は 5 分です。 この問題は、センサーが許可された時間を超えてデータまたはキープアライブ信号を Defender for Identity サービスに送信できなかったことを示しています。 通常、この問題は、データ転送を妨げている環境内のネットワークの問題か、許容される時間枠より長くかかったサーバー再起動のどちらかを示唆しています。これは、Defender for Identity が疑わしいアクティビティを検出する機能に影響を与えます。 | Defender for Identity センサーと Defender for Identity クラウド サービス間の通信が、ルーターまたはファイアウォールによってブロックされていないことを確認します。 | 中 | [センサーの正常性に関する問題] タブ | すべて |
| 一部の Windows イベントが分析されていない | Defender for Identity センサーは、一部の Windows イベントが分析されない原因となる処理よりも多くのイベントを受信しています。 この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 | 必要に応じて 、プロセッサとメモリをさらに追加 することを検討してください。 スタンドアロン Defender for Identity センサーを使用している場合は、必要なイベントのみがセンサーに転送されることを確認します。 または、いくつかのイベントを別の Defender for Identity センサーに転送してみてください。 | 中 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | 2.x |
| 一部のネットワーク トラフィックを分析できませんでした | Defender for Identity センサーは、一部のネットワーク トラフィックを分析できなかった原因となる処理よりも多くのネットワーク トラフィックを受信しています。 この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 | 必要に応じて 、プロセッサとメモリをさらに追加 することを検討してください。 スタンドアロン Defender for Identity センサーを使用している場合は、監視するドメイン コントローラーの数を減らします。 この問題は、VMware 仮想マシンでドメイン コントローラーを使用している場合にも発生する可能性があります。 これらの問題を回避するには、次の設定が 0 に設定されているか、仮想マシンで無効に設定されていることをチェックできます (Windows OS では、VMware 設定では無効ではありません)。 - L Send オフロード V2 (IPv4) - IPv4 TSO オフロード 名前は、VMware のバージョンによって異なる場合があります。 詳細については、VMware のドキュメントを参照してください。 |
中 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | 2.x |
| 一部の ETW イベントが分析されていない | Defender for Identity センサーは、Windows 用イベント トレース (ETW) イベントを処理するよりも多くのイベントを受信しています。これにより、一部のイベント トレース for Windows (ETW) イベントが分析されません。 この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生する疑わしいアクティビティを検出する機能に影響する可能性があります。 | 必要に応じて 、プロセッサとメモリをさらに追加 することを検討してください。 | 中 | [センサーの正常性の問題] タブと [グローバル正常性の問題] タブ | 2.x |
| すぐにサポートされなくなるオペレーティング システムで実行されているセンサー | Defender for Identity センサーは、間もなくサポートされなくなるオペレーティング システムで実行されています。 Windows Server 2012と 2012 R2 は、2023 年 10 月 10 日にサポート終了に達しました。 詳細については、以下を参照してください。 https://aka.ms/mdi/oseos | サーバー上のオペレーティング システムは、サポートされている最新のオペレーティング システムにアップグレードする必要があります。 詳細については、次を参照してください。 https://aka.ms/mdi/os | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| サポートされていないオペレーティング システムで実行されているセンサー | Defender for Identity センサーは、サポートされていないオペレーティング システムで実行されています。 Windows Server 2012と 2012 R2 は、2023 年 10 月 10 日にサポート終了に達しました。 詳細については、次のページを参照してください。 https://aka.ms/mdi/oseos | サーバー上のオペレーティング システムは、サポートされている最新のオペレーティング システムにアップグレードする必要があります。 詳細については、次を参照してください。 https://aka.ms/mdi/os | 高 | [センサーの正常性に関する問題] タブ | すべて |
| センサーにパケット キャプチャ コンポーネントに関する問題がある | Defender for Identity センサーは、Npcap ドライバーの代わりに WinPcap ドライバーを使用しています。 すべての顧客は、WinPcap ドライバーの代わりに Npcap ドライバーを使用する必要があります。 Defender for Identity バージョン 2.184 以降、インストール パッケージは Npcap 1.0 OEM をインストールします。 | 次の説明に従って、ガイダンスに従って Npcap をインストールします。 https://aka.ms/mdi/npcap | 高 | [センサーの正常性に関する問題] タブ | 2.x |
| センサーにパケット キャプチャ コンポーネントに関する問題がある | Defender for Identity センサーは、最低限必要なバージョンより古い Npcap バージョンを実行しています。 サポートされている最小 Npcap バージョンは 1.0 です。 Defender for Identity バージョン 2.184 以降、インストール パッケージは Npcap 1.0 OEM をインストールします。 | 次に示すように、ガイダンスに従って Npcap をアップグレードします。 https://aka.ms/mdi/npcap | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| センサーにパケット キャプチャ コンポーネントに関する問題がある | Defender for Identity センサーは、必要に応じて構成されていない Npcap コンポーネントを実行しています。 Npcap インストールに必要な構成オプションがありません。 | 次の説明に従って、ガイダンスに従って Npcap をインストールします。 https://aka.ms/mdi/npcap | 高 | [センサーの正常性に関する問題] タブ | 2.x |
| NTLM 監査が有効になっていない | NTLM 監査 (イベント ID 8004 の場合) は、サーバーで有効になっていません。 (この構成は、センサーごとに 1 日 1 回検証されます)。 | 「Windows イベント コレクションの構成」ページの「イベント ID 8004」セクションで説明されているように、ガイダンスに従って NTLM 監査イベントを有効にします。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| Directory Services の高度な監査が必要に応じて有効になっていません | Directory Services の高度な監査構成には、必要に応じてすべてのカテゴリとサブカテゴリが含まれているわけではありません。 (この構成は、センサーごとに 1 日 1 回検証されます)。 | Directory Services の高度な監査イベントを有効にします。 詳細については、「 Windows イベント ログの監査ポリシーを構成する」を参照してください。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| Directory Services オブジェクト監査が必要に応じて有効になっていない | Directory Services オブジェクト監査構成には、必要に応じてすべてのオブジェクトの種類とアクセス許可が含まれているわけではありません。 (この構成は、ドメインごとに 1 日 1 回検証されます)。 | 「ドメイン オブジェクト監査の構成」セクションの「Windows イベント コレクションの構成」ページの説明に従って、Directory Services オブジェクト監査イベントを有効にします。 | 中 | [グローバル正常性の問題] タブ | 2.x |
| 構成コンテナーの監査は、必要に応じて有効になっていません | ドメインの構成コンテナーの Directory Services 監査は、必要に応じて有効になっていません。 (この構成は、ドメインごとに 1 日 1 回検証されます)。 | 「監査 ポリシーの構成」 セクションの「 Windows イベント コレクション の構成」ページの説明に従って、ドメインの構成コンテナーで Directory Services 監査を有効にします。 | 中 | [グローバル正常性の問題] タブ | 2.x |
| ADFS コンテナーの監査は、必要に応じて有効になっていません | ADFS コンテナーの Directory Services 監査は、必要に応じて有効になっていません。 (この構成は、ドメインごとに 1 日 1 回検証されます)。 | 「Windows イベント コレクションの構成」ページの「Active Directory フェデレーション サービス (AD FS) (AD FS) での監査の構成」セクションの説明に従って、ADFS コンテナーで Directory Services 監査を有効にします。 | 中 | [グローバル正常性の問題] タブ | 2.x |
| 最適なプロセッサ パフォーマンスのために電源モードが構成されていない | オペレーティング システムの電源モードは、最適なプロセッサ パフォーマンス設定に構成されていません。 (この構成は、センサーごとに 1 日 1 回検証されます)。この問題は、サーバーのパフォーマンスと、疑わしいアクティビティを検出するセンサーの機能に影響する可能性があります。 | 次のいずれかの操作を行います。 - Defender for Identity センサーを実行しているマシンの電源オプションを高パフォーマンスに構成する - プロセッサの最小と最大の両方の状態を 100 に設定します 詳細については、「Defender for Identity の前提条件」ページの「センサーの要件と推奨事項」セクションを参照してください。 |
低 | [センサーの正常性に関する問題] タブ | 2.x |
| センサーがカスタム ログ パスに書き込めませんでした | センサー構成で指定されたカスタム ログ パスは作成できません。 | 1. AATPSensorUpdater と AATPSensor サービスを停止します。 2. センサー構成ファイルの SensorCustomLogLocation を有効なパスに変更するか、null に設定します。 3. AATPSensorUpdater を起動し、サービスをもう一度 AATPSensor します。 |
低 | [センサーの正常性に関する問題] タブ | 2.x |
| Radius アカウンティング (VPN 統合) データ インジェストエラー | 一覧に示されている Defender for Identity センサーには、半径アカウンティング (VPN 統合) データ インジェスト エラーがあります。 | Defender for Identity 構成設定の共有シークレットが、Defender for Identity VPN 統合ページの「Defender for Identity で VPN を構成する」セクションで説明されているガイダンスに従って、VPN サーバーと一致することを検証します。 | 低 | [正常性の問題] ページ | 2.x |
| AD CS サーバーの監査が必要に応じて有効になっていません | 高度な監査ポリシー構成または AD CS 監査は、必要に応じて有効になっていません (この構成は、センサーごとに 1 日 1 回検証されます)。 | 「Ad CS での監査の構成」セクションの「Windows イベント コレクションの構成」ページの説明に従って、高度な監査ポリシー構成と AD CS 監査を有効にします。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |
| センサーが Connect サービス構成Microsoft Entra取得できませんでした | センサーは、Microsoft Entra Connect サービス (Microsoft Azure AD 同期とも呼ばれます) から構成を取得できません。 | Microsoft Entra接続サービス (Microsoft Azure AD Sync) が実行されていることを確認し、「Microsoft Entra Connect (ADSync) データベースのアクセス許可を構成する」の手順に従って、センサーに必要なアクセス許可を付与します。 問題が解決しない場合は、「Microsoft Entra Connect に関する SQL 接続の問題」のトラブルシューティング ガイダンスに従ってください。 | 中 | [センサーの正常性に関する問題] タブ | 2.x |