Microsoft Defender for Identity 상태 문제
Microsoft Defender for Identity Health 문제 페이지에는 Defender for Identity 배포 및 센서에 대한 현재 상태 문제가 나열되어 있으며, Defender for Identity 배포의 모든 문제에 대해 경고합니다.
상태 문제 페이지
Microsoft Defender for Identity Health 문제 페이지에서는 Defender for Identity 작업 영역에 문제가 있는 경우 상태 문제를 발생시켜 알 수 있습니다. 페이지에 액세스하려면 다음 단계를 수행합니다.
Microsoft Defender XDR의 ID에서 상태 문제를 선택합니다.
일반 Defender for Identity 환경 및 특정 센서 모두에 대한 상태 문제를 볼 수 있는 상태 문제 페이지가 나타납니다.
Defender for Identity는 다음과 같은 유형의 상태 경고를 지원합니다.
- 전역 상태 문제 탭에 나열된 기본 관련 또는 집계된 상태 문제
- 센서 상태 문제 탭에 나열된 센서별 상태 문제
원하는 문제를 찾는 데 도움이 되도록 상태, 문제 이름 또는 심각도별로 문제를 필터링합니다.
예시:
자세한 내용을 보려면 문제를 선택하고 문제를 닫거나 표시하지 않는 옵션을 선택합니다. 예시:
상태 문제
이 섹션에서는 각 구성 요소에 대한 모든 상태 문제에 대해 설명하고 문제를 해결하는 데 필요한 원인 및 단계를 나열합니다.
센서별 상태 문제는 센서 상태 문제 탭에 표시되며기본 관련 또는 집계된 상태 문제는 다음 표에 자세히 설명된 대로 전역 상태 문제 탭에 표시됩니다.
do기본 컨트롤러는 센서에서 연결할 수 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 구성된 do기본 컨트롤러에 대한 연결 문제로 인해 기능이 제한됩니다. | 이는 이 Defender for Identity 센서에서 모니터링하는 기본 컨트롤러와 관련된 의심스러운 활동을 검색하는 Defender for Identity의 기능에 영향을 줍니다. | do기본 컨트롤러가 실행 중이고 이 Defender for Identity 센서가 LDAP 연결을 열 수 있는지 확인합니다. 또한 설정 배포된 모든 포리스트에 대해 디렉터리 서비스 계정을 구성해야 합니다. | 중간 | 센서 상태 문제 탭 |
센서의 모든/일부 캡처 네트워크 어댑터를 사용할 수 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서에서 선택한 모든/일부 캡처 네트워크 어댑터가 비활성화되거나 연결이 끊어졌습니다. | 일부/모든 do기본 컨트롤러에 대한 네트워크 트래픽은 더 이상 Defender for Identity 센서에 의해 캡처되지 않습니다. 이 문제는 컨트롤러와 관련된 의심스러운 활동을 검색하는 기능에 영향을 기본. | Defender for Identity 센서에서 선택한 캡처 네트워크 어댑터가 사용하도록 설정되고 연결되어 있는지 확인합니다. | 중간 | 센서 상태 문제 탭 |
디렉터리 서비스 사용자 자격 증명이 올바르지 않습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 디렉터리 서비스 사용자 계정에 대한 자격 증명이 잘못되었습니다. | 이 문제는 do기본 컨트롤러에 대해 LDAP 쿼리를 사용하여 활동을 감지하는 센서의 기능에 영향을 줍니다. | - 표준 AD 계정의 경우: 디렉터리 서비스 구성 페이지의 사용자 이름, 암호 및 do기본 올바른지 확인합니다. - 그룹 관리 서비스 계정의 경우: Directory Services 구성 페이지의 사용자 이름과 기본 올바른지 확인합니다. 또한 디렉터리 서비스 계정 권장 사항 페이지에 설명된 다른 모든 gMSA 계정 필수 구성 요소도 검사. |
중간 | 전역 상태 문제 탭 |
활성 이름 확인의 낮은 성공률
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 나열된 Defender for Identity 센서는 다음 방법을 사용하여 90% 이상의 시간 동안 IP 주소를 디바이스 이름으로 확인하는 데 실패합니다. - RPC를 통한 NTLM -Netbios - 역방향 DNS |
이는 Defender for Identity의 검색 기능에 영향을 미치며 가양성 경보의 수를 늘릴 수 있습니다. | - RPC를 통한 NTLM의 경우: 환경의 모든 컴퓨터에서 Defender for Identity 센서의 인바운드 통신을 위해 포트 135가 열려 있는지 확인합니다. - 역방향 DNS의 경우: 센서가 DNS 서버에 연결할 수 있고 역방향 조회 영역이 사용하도록 설정되어 있는지 확인합니다. - NetBIOS의 경우: 환경의 모든 컴퓨터에서 Defender for Identity 센서의 인바운드 통신을 위해 포트 137이 열려 있는지 확인합니다. 또한 네트워크 구성(예: 방화벽)이 관련 포트에 대한 통신을 방해하지 않는지 확인합니다. |
낮음 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
할 일기본 컨트롤러에서 수신된 트래픽이 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 이 Defender for Identity 센서를 통해 do기본 컨트롤러에서 트래픽이 수신되지 않았습니다. | 이 문제는 do기본 컨트롤러에서 Defender for Identity 센서로 미러 포트가 아직 구성되지 않았거나 작동하지 않음을 나타낼 수 있습니다. | 네트워크 디바이스에서 포트 미러 올바르게 구성되었는지 확인합니다. Defender for Identity 센서 캡처 NIC에서 고급 설정 다음 기능을 사용하지 않도록 설정합니다. 수신 세그먼트 병합(IPv4) 수신 세그먼트 병합(IPv6) |
중간 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
곧 만료할 읽기 전용 사용자 암호
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Active Directory에 대한 엔터티 확인을 수행하는 데 사용되는 읽기 전용 사용자 암호는 30일 이내에 만료됩니다. | 이 사용자의 암호가 만료되면 모든 Defender for Identity 센서의 실행이 중지되고 새 데이터가 수집되지 않습니다. | do기본 연결 암호를 변경한 다음 디렉터리 서비스 계정 암호를 업데이트합니다. | 중간 | 전역 상태 문제 탭 |
읽기 전용 사용자 암호가 만료됨
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 디렉터리 데이터를 가져오는 데 사용되는 읽기 전용 사용자 암호가 만료되었습니다. | 모든 Defender for Identity 센서의 실행이 중지되거나 곧 실행이 중지되며 새 데이터가 수집되지 않습니다. | do기본 연결 암호를 변경한 다음 디렉터리 서비스 계정 암호를 업데이트합니다. | 높음 | 전역 상태 문제 탭 |
센서가 만료되었습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서가 오래되었습니다. | Defender for Identity 센서는 Defender for Identity 클라우드 인프라와 통신할 수 없는 버전을 실행하고 있습니다. | 센서를 수동으로 업데이트하고 검사 센서가 자동으로 업데이트되지 않는 이유를 확인합니다. 이 옵션이 작동하지 않는 경우 최신 센서 설치 패키지를 다운로드하고 센서를 제거하고 다시 설치합니다. 자세한 내용은 Microsoft Defender for Identity 센서 다운로드 및 Id용 Microsoft Defender 센서 설치를 참조하세요. | 중간 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
센서가 메모리 리소스 제한에 도달했습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 자체적으로 중지되고 자동으로 다시 시작하여 메모리 부족 상태에서 do기본 컨트롤러를 보호합니다. | Defender for Identity 센서는 do기본 컨트롤러에 리소스 제한이 발생하지 않도록 메모리 제한을 적용합니다. 이 문제는 do기본 컨트롤러의 메모리 사용량이 높을 때 발생합니다. 이 작업기본 컨트롤러의 데이터는 부분적으로만 모니터링됩니다. | do기본 컨트롤러의 메모리 양(RAM)을 늘리거나 이 사이트의 더 많은 작업을 추가기본 컨트롤러를 추가하여 이 작업기본 컨트롤러의 부하를 더 효율적으로 분산합니다. | 중간 | 센서 상태 문제 탭 |
센서 서비스를 시작하지 못했습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서 서비스를 30분 이상 시작하지 못했습니다. | 이 문제는 이 Defender for Identity 센서에서 모니터링되는 do기본 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. | Defender for Identity 센서 로그를 모니터링하여 Defender for Identity 센서 서비스 오류의 근본 원인을 파악합니다. | 높음 | 센서 상태 문제 탭 |
센서에서 통신을 중지했습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서에서 통신하지 않았습니다. 이 경고의 기본 시간 범위는 5분입니다. | 네트워크 트래픽은 더 이상 Defender for Identity 센서의 네트워크 어댑터에 의해 캡처되지 않습니다. 이는 네트워크 트래픽이 Defender for Identity 클라우드 서비스에 연결할 수 없으므로 의심스러운 활동을 검색하는 Defender for Identity의 기능에 영향을 줍니다. | Defender for Identity 센서와 Defender for Identity 클라우드 서비스 간의 통신에 사용되는 포트가 라우터 또는 방화벽에 의해 차단되지 않는지 확인합니다. | 중간 | 센서 상태 문제 탭 |
일부 Windows 이벤트는 분석되지 않습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 이벤트를 수신하고 있습니다. | 일부 Windows 이벤트는 분석되지 않습니다. 이는 이 Defender for Identity 센서에서 모니터링되는 기본 컨트롤러에서 발생하는 의심스러운 활동을 감지하는 기능에 영향을 줄 수 있습니다. | 필요에 따라 프로세서와 메모리를 더 추가하는 것이 좋습니다. 독립 실행형 Defender for Identity 센서를 사용하는 경우 필요한 이벤트만 센서로 전달되는지 확인합니다. 또는 일부 이벤트를 다른 Defender for Identity 센서에 전달해 보세요. | 중간 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
일부 네트워크 트래픽을 분석할 수 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 네트워크 트래픽을 수신하고 있습니다. | 일부 네트워크 트래픽을 분석할 수 없습니다. 이 문제는 이 Defender for Identity 센서에서 모니터링되는 do기본 컨트롤러에서 발생하는 의심스러운 활동을 감지하는 기능에 영향을 줄 수 있습니다. | 필요에 따라 프로세서와 메모리를 더 추가하는 것이 좋습니다. 독립 실행형 Defender for Identity 센서를 사용하는 경우 모니터링되는 할 일기본 컨트롤러 수를 줄입니다. VMware 가상 머신에서 do기본 컨트롤러를 사용하는 경우에도 이 문제가 발생할 수 있습니다. 이러한 문제를 방지하려면 다음 설정이 VMware 설정이 아닌 Windows OS의 가상 머신에서 0 또는 사용 안 함으로 설정되어 있음을 검사 수 있습니다. - 큰 송신 오프로드 V2(IPv4) - IPv4 TSO 오프로드 이름은 VMware 버전에 따라 달라질 수 있습니다. 자세한 내용은 VMware 설명서를 참조하십시오. |
중간 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
일부 ETW 이벤트가 분석되고 있지 않음
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 ETW(Windows용 이벤트 추적) 이벤트를 수신합니다. | 일부 ETW(Windows용 이벤트 추적) 이벤트는 분석되지 않습니다. 이는 이 Defender for Identity 센서에서 모니터링되는 기본 컨트롤러에서 발생하는 의심스러운 활동을 감지하는 기능에 영향을 줄 수 있습니다. | 필요에 따라 프로세서와 메모리를 더 추가하는 것이 좋습니다. | 중간 | 센서 상태 문제 탭 및 전역 상태 문제 탭 |
곧 지원되지 않는 운영 체제에서 실행되는 센서
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 곧 지원되지 않는 운영 체제에서 실행됩니다. | Windows Server 2012 및 2012 R2는 2023년 10월 10일에 지원이 종료되었습니다. 자세한 내용은 다음에서 확인할 수 있습니다. https://aka.ms/mdi/oseos | 서버의 운영 체제를 지원되는 최신 운영 체제로 업그레이드해야 합니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/mdi/os | 중간 | 센서 상태 문제 탭 |
지원되지 않는 운영 체제에서 실행되는 센서
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서가 지원되지 않는 운영 체제에서 실행되고 있습니다. | Windows Server 2012 및 2012 R2는 2023년 10월 10일에 지원이 종료되었습니다. 자세한 내용은 https://aka.ms/mdi/oseos에서 확인할 수 있습니다. | 서버의 운영 체제를 지원되는 최신 운영 체제로 업그레이드해야 합니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/mdi/os | 높음 | 센서 상태 문제 탭 |
센서에 패킷 캡처 구성 요소에 문제가 있음
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 Npcap 드라이버 대신 WinPcap 드라이버를 사용합니다. | 모든 고객은 WinPcap 드라이버 대신 Npcap 드라이버를 사용해야 합니다. Defender for Identity 버전 2.184부터 설치 패키지는 Npcap 1.0 OEM을 설치합니다. | 설명된 지침에 따라 Npcap을 설치합니다. https://aka.ms/mdi/npcap | 낮음 | 센서 상태 문제 탭 |
| Defender for Identity 센서는 필요한 최소 버전보다 오래된 Npcap 버전을 실행합니다. | 지원되는 최소 Npcap 버전은 1.0입니다. Defender for Identity 버전 2.184부터 설치 패키지는 Npcap 1.0 OEM을 설치합니다. | 다음에 설명된 지침에 따라 Npcap을 업그레이드합니다. https://aka.ms/mdi/npcap | 중간 | 센서 상태 문제 탭 |
| Defender for Identity 센서는 필요에 따라 구성되지 않은 Npcap 구성 요소를 실행합니다. | Npcap 설치에 필요한 구성 옵션이 없습니다. | 설명된 지침에 따라 Npcap을 설치합니다. https://aka.ms/mdi/npcap | 높음 | 센서 상태 문제 탭 |
NTLM 감사를 사용할 수 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| NTLM 감사를 사용할 수 없습니다. | 서버에서 NTLM 감사(이벤트 ID 8004의 경우)를 사용할 수 없습니다. (이 구성은 센서당 일주일에 한 번 유효성을 검사합니다). | Windows 이벤트 컬렉션 구성 페이지의 이벤트 ID 8004 섹션에 설명된 지침에 따라 NTLM 감사 이벤트를 사용하도록 설정합니다. | 중간 | 센서 상태 문제 탭 |
디렉터리 서비스 고급 감사는 필요에 따라 사용하도록 설정되지 않았습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 디렉터리 서비스 고급 감사는 필요에 따라 사용하도록 설정되지 않습니다. (이 구성은 하루에 한 번 유효성을 검사합니다기본). | Directory Services 고급 감사 구성에는 필요에 따라 모든 범주 및 하위 범주가 포함되지 않습니다. | Directory Services 고급 감사 이벤트를 사용하도록 설정합니다. 자세한 내용은 Windows 이벤트 로그에 대한 감사 정책 구성을 참조 하세요. | 중간 | 전역 상태 문제 탭 |
필요에 따라 Directory Services 개체 감사를 사용할 수 없습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Directory Services 개체 감사는 필요에 따라 사용하도록 설정되지 않습니다. (이 구성은 하루에 한 번 유효성을 검사합니다기본). | Directory Services 개체 감사 구성에는 필요에 따라 모든 개체 형식 및 권한이 포함되지 않습니다. | Windows 이벤트 컬렉션 구성 페이지의 do기본 개체 감사 구성 섹션에 설명된 지침에 따라 Directory Services 개체 감사 이벤트를 사용하도록 설정합니다. | 중간 | 전역 상태 문제 탭 |
구성 컨테이너에 대한 감사는 필요에 따라 사용하도록 설정되지 않았습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 구성 컨테이너에 대한 감사는 필요에 따라 사용하도록 설정되지 않습니다. (이 구성은 하루에 한 번 유효성을 검사합니다기본). | Do기본 구성 컨테이너의 디렉터리 서비스 감사는 필요에 따라 사용하도록 설정되지 않습니다. | Windows 이벤트 컬렉션 구성 페이지의 감사 정책 구성 섹션에 설명된 지침에 따라 Do기본 구성 컨테이너에서 디렉터리 서비스 감사를 사용하도록 설정합니다. | 중간 | 전역 상태 문제 탭 |
ADFS 컨테이너에 대한 감사는 필요에 따라 사용하도록 설정되지 않았습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| ADFS 컨테이너에 대한 감사는 필요에 따라 사용하도록 설정되지 않습니다. (이 구성은 하루에 한 번 유효성을 검사합니다기본). | ADFS 컨테이너에 대한 Directory Services 감사는 필요에 따라 사용하도록 설정되지 않습니다. | Windows 이벤트 컬렉션 구성 페이지의 AD FS(Active Directory Federation Services) 섹션에서 감사 구성 섹션에 설명된 지침에 따라 ADFS 컨테이너에서 디렉터리 서비스 감사를 사용하도록 설정합니다. | 중간 | 전역 상태 문제 탭 |
최적의 프로세서 성능을 위해 전원 모드가 구성되지 않았습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 최적의 프로세서 성능을 위해 전원 모드가 구성되지 않았습니다. (이 구성은 센서당 하루에 한 번 유효성을 검사합니다). | 운영 체제의 전원 모드는 최적의 프로세서 성능 설정으로 구성되지 않습니다. 이 문제는 서버의 성능 및 센서가 의심스러운 활동을 감지하는 기능에 영향을 줄 수 있습니다. | 다음 중 하나를 수행합니다. - Defender for Identity 센서를 실행하는 컴퓨터의 전원 옵션을 고성능으로 구성 - 최소 및 최대 프로세서 상태를 모두 100으로 설정 자세한 내용은 Defender for Identity 필수 구성 요소 페이지의 센서 요구 사항 및 권장 사항 섹션 을 참조하세요 . |
낮음 | 센서 상태 문제 탭 |
센서가 사용자 지정 로그 경로에 쓰지 못했습니다.
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 센서가 사용자 지정 로그 경로에 쓰지 못했습니다. | 센서 구성에 제공된 사용자 지정 로그 경로를 만들 수 없습니다. | 1. 서비스를 AATPSensor 중지 AATPSensorUpdater 합니다. 2. 센서 구성 파일의 경로를 유효한 경로로 변경 SensorCustomLogLocation 하거나 null로 설정합니다. 3. 서비스를 AATPSensor 다시 시작 AATPSensorUpdater 합니다. |
낮음 | 센서 상태 문제 탭 |
Radius 계정(VPN 통합) 데이터 수집 실패
| 경고 | 설명 | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Radius 계정(VPN 통합) 데이터 수집 실패 | 나열된 Defender for Identity 센서에는 반경 회계(VPN 통합) 데이터 수집 실패가 있습니다. | Defender for Identity 구성 설정의 공유 비밀이 Defender for Identity VPN 통합 페이지의 Defender for Identity 섹션에서 VPN 구성 섹션에 설명된 지침에 따라 VPN 서버와 일치하는지 확인합니다. | 낮음 | 상태 문제 페이지 |