Microsoft Defender for Identity gezondheidsproblemen
Artikel
De pagina Microsoft Defender for Identity Statusproblemen bevat alle huidige statusproblemen voor uw Defender for Identity-implementatie en -sensoren, waarbij u wordt gewaarschuwd voor eventuele problemen in uw Defender for Identity-implementatie.
Pagina Statusproblemen
Op de pagina Microsoft Defender for Identity Statusproblemen kunt u zien wanneer er een probleem is met uw Defender for Identity-werkruimte, door een statusprobleem aan te melden. Voer de volgende stappen uit om toegang te krijgen tot de pagina:
De pagina Statusproblemen wordt weergegeven, waar u statusproblemen kunt zien voor zowel uw algemene Defender for Identity-omgeving als specifieke sensoren.
Defender for Identity ondersteunt de volgende typen statuswaarschuwingen:
Domeingerelateerde of geaggregeerde statusproblemen, vermeld op het tabblad Algemene statusproblemen
Sensorspecifieke statusproblemen, vermeld op het tabblad Sensorstatusproblemen
Filter problemen op status, naam van probleem of ernst om u te helpen het probleem te vinden dat u zoekt.
Bijvoorbeeld:
Selecteer een probleem voor meer informatie en de optie om het probleem te sluiten of te onderdrukken. Bijvoorbeeld:
Statusproblemen
In deze sectie worden alle statusproblemen voor elk onderdeel beschreven, met een overzicht van de oorzaak en de stappen die nodig zijn om het probleem op te lossen.
Sensorspecifieke statusproblemen worden weergegeven op het tabblad Sensorstatusproblemen en domeingerelateerde of geaggregeerde statusproblemen worden weergegeven op het tabblad Algemene statusproblemen , zoals beschreven in de volgende tabellen:
Een domeincontroller is onbereikbaar voor een sensor
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor heeft beperkte functionaliteit vanwege verbindingsproblemen met de geconfigureerde domeincontroller.
Dit is van invloed op de mogelijkheid van Defender for Identity om verdachte activiteiten te detecteren met betrekking tot domeincontrollers die worden bewaakt door deze Defender for Identity-sensor.
Zorg ervoor dat de domeincontrollers actief zijn en dat deze Defender for Identity-sensor LDAP-verbindingen met deze domeincontrollers kan openen. Zorg er bovendien voor dat u in Instellingen een Directory Service-account configureert voor elk geïmplementeerd forest.
Gemiddeld
Tabblad Statusproblemen met sensoren
Alle/sommige van de capture-netwerkadapters op een sensor zijn niet beschikbaar
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
Alle/sommige geselecteerde netwerkadapters voor vastleggen op de Defender for Identity-sensor zijn uitgeschakeld of verbroken.
Netwerkverkeer voor sommige/alle domeincontrollers wordt niet meer vastgelegd door de Defender for Identity-sensor. Dit probleem is van invloed op de mogelijkheid om verdachte activiteiten te detecteren die betrekking hebben op deze domeincontrollers.
Zorg ervoor dat deze geselecteerde netwerkadapters voor vastleggen op de Defender for Identity-sensor zijn ingeschakeld en verbonden.
Gemiddeld
Tabblad Statusproblemen met sensoren
Gebruikersreferenties van Directory Services zijn onjuist
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De referenties voor het gebruikersaccount van Directory Services zijn onjuist.
Dit probleem is van invloed op de mogelijkheid van sensoren om activiteiten te detecteren met behulp van LDAP-query's op domeincontrollers.
- Voor een standaard AD-account: controleer of de gebruikersnaam, het wachtwoord en het domein op de configuratiepagina van Directory Services juist zijn. - Voor beheerde serviceaccounts voor groepen: controleer of de gebruikersnaam en het domein op de configuratiepagina van Directory Services juist zijn. Controleer ook alle andere vereisten voor het gMSA-account die worden beschreven op de pagina Aanbevelingen voor directoryserviceaccounts .
Gemiddeld
Tabblad Algemene statusproblemen
Laag slagingspercentage van actieve naamomzetting
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De vermelde Defender for Identity-sensoren kunnen ip-adressen niet meer dan 90% van de tijd omzetten in apparaatnamen met behulp van de volgende methoden: - NTLM via RPC -NetBIOS - Omgekeerde DNS
Dit is van invloed op de detectiemogelijkheden van Defender for Identity en kan het aantal fout-positieve alarmen verhogen.
- Voor NTLM via RPC: controleer of poort 135 is geopend voor inkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving. - Voor reverse DNS: controleer of de sensoren de DNS-server kunnen bereiken en of Reverse Lookup Zones zijn ingeschakeld. - Voor NetBIOS: controleer of poort 137 is geopend voor inkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving. Zorg er bovendien voor dat de netwerkconfiguratie (zoals firewalls) de communicatie met de relevante poorten niet verhindert.
Laag
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Geen verkeer ontvangen van domeincontroller
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
Er is geen verkeer ontvangen van de domeincontroller via deze Defender for Identity-sensor.
Dit probleem kan erop wijzen dat poortspiegeling van de domeincontrollers naar de Defender for Identity-sensor nog niet is geconfigureerd of niet werkt.
Schakel deze functies in geavanceerde instellingen uit op de NIC van de Defender for Identity-sensoropname:
Segment coalescering ontvangen (IPv4)
Segment coalescering ontvangen (IPv6)
Gemiddeld
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Alleen-lezen gebruikerswachtwoord dat binnenkort verloopt
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
Het alleen-lezen gebruikerswachtwoord, dat wordt gebruikt voor het omzetten van entiteiten op Active Directory, verloopt over minder dan 30 dagen.
Als het wachtwoord voor deze gebruiker verloopt, worden alle Defender for Identity-sensoren niet meer uitgevoerd en worden er geen nieuwe gegevens verzameld.
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Sensor heeft een geheugenresourcelimiet bereikt
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor is gestopt en wordt automatisch opnieuw opgestart om de domeincontroller te beschermen tegen een geheugentekort.
De Defender for Identity-sensor dwingt geheugenbeperkingen op zichzelf af om te voorkomen dat de domeincontroller resourcebeperkingen ondervindt. Dit probleem treedt op wanneer het geheugengebruik op de domeincontroller hoog is. Gegevens van deze domeincontroller worden slechts gedeeltelijk bewaakt.
Verhoog de hoeveelheid geheugen (RAM) op de domeincontroller of voeg meer domeincontrollers toe op deze site om de belasting van deze domeincontroller beter te verdelen.
Gemiddeld
Tabblad Statusproblemen met sensoren
De sensorservice kan niet worden gestart
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensorservice kan gedurende ten minste 30 minuten niet worden gestart.
Dit probleem kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor.
Monitor Defender for Identity-sensorlogboeken om inzicht te krijgen in de hoofdoorzaak van de Defender for Identity-sensorservicefout.
Hoog
Tabblad Statusproblemen met sensoren
Sensor is gestopt met communiceren
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
Er is geen communicatie van de Defender for Identity-sensor geweest. De standaardtijdsduur voor deze waarschuwing is 5 minuten.
Dit geeft aan dat de sensor geen gegevens of een keep-alive-signaal naar de Defender for Identity-services heeft verzonden gedurende een periode die de toegestane tijd overschrijdt. Dit duidt meestal op een netwerkprobleem in de omgeving dat gegevensoverdracht verhinderde of een server opnieuw opstarten dat langer duurde dan het acceptabele tijdsbestek, wat van invloed is op het vermogen van Defender for Identity om verdachte activiteiten te detecteren.
Controleer of de communicatie tussen de Defender for Identity-sensor en de Defender for Identity-cloudservice niet wordt geblokkeerd door routers of firewalls.
Gemiddeld
Tabblad Statusproblemen met sensoren
Sommige Windows-gebeurtenissen worden niet geanalyseerd
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor ontvangt meer gebeurtenissen dan kan worden verwerkt.
Sommige Windows-gebeurtenissen worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor.
U kunt desgewenst meer processors en geheugen toevoegen . Als u een zelfstandige Defender for Identity-sensor gebruikt, controleert u of alleen de vereiste gebeurtenissen naar de sensor worden doorgestuurd. Of probeer bepaalde gebeurtenissen door te sturen naar een andere Defender for Identity-sensor.
Gemiddeld
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Sommige netwerkverkeer kan niet worden geanalyseerd
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor ontvangt meer netwerkverkeer dan kan worden verwerkt.
Sommige netwerkverkeer kan niet worden geanalyseerd. Dit probleem kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor.
Dit probleem kan ook optreden als u domeincontrollers gebruikt op virtuele VMware-machines. Om deze problemen te voorkomen, kunt u controleren of de volgende instellingen zijn ingesteld op 0 of Uitgeschakeld op de virtuele machine (in het Windows-besturingssysteem, niet in de VMware-instellingen):
-
Large Send Offload V2 (IPv4)
-
IPv4 TSO-offload
De namen kunnen variëren, afhankelijk van uw VMware-versie. Zie uw VMware-documentatie voor meer informatie.
Gemiddeld
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Sommige ETW-gebeurtenissen worden niet geanalyseerd
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor ontvangt meer ETW-gebeurtenissen (Event Tracing for Windows) dan deze kan verwerken.
Sommige ETW-gebeurtenissen (Event Tracing for Windows) worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor.
Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen
Sensor die wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund.
Windows Server 2012 en 2012 R2 is op 10 oktober 2023 beëindigd. Meer informatie vindt u op: https://aka.ms/mdi/oseos
Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os
Gemiddeld
Tabblad Statusproblemen met sensoren
Sensor die wordt uitgevoerd op een niet-ondersteund besturingssysteem
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor wordt uitgevoerd op een niet-ondersteund besturingssysteem.
Windows Server 2012 en 2012 R2 is op 10 oktober 2023 beëindigd. Meer informatie vindt u op: https://aka.ms/mdi/oseos
Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os
Hoog
Tabblad Statusproblemen met sensoren
Sensor heeft problemen met het onderdeel pakketopname
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De Defender for Identity-sensor gebruikt WinPcap-stuurprogramma's in plaats van Npcap-stuurprogramma's.
Alle klanten moeten Npcap-stuurprogramma's gebruiken in plaats van de WinPcap-stuurprogramma's. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM.
De energiemodus is niet geconfigureerd voor optimale processorprestaties
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De energiemodus is niet geconfigureerd voor optimale processorprestaties. (Deze configuratie wordt eenmaal per dag per sensor gevalideerd).
De energiemodus van het besturingssysteem is niet geconfigureerd voor de optimale instellingen voor processorprestaties. Dit probleem kan van invloed zijn op de prestaties van de server en de mogelijkheid van de sensoren om verdachte activiteiten te detecteren.
Voer een van de volgende handelingen uit:
- Configureer de aan/uit-optie van de computer waarop de Defender for Identity-sensor wordt uitgevoerd op hoge prestaties - Stel de minimale en maximale processorstatus in op 100
Sensor kan niet schrijven naar het aangepaste logboekpad
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
De sensor kan niet schrijven naar het aangepaste logboekpad.
Het aangepaste logboekpad dat is opgegeven in de sensorconfiguratie kan niet worden gemaakt.
1. Stop de AATPSensorUpdater services en AATPSensor . 2. Wijzig het SensorCustomLogLocation in het sensorconfiguratiebestand in een geldig pad of stel het in op null. 3. Start de AATPSensorUpdater services en AATPSensor opnieuw.
Laag
Tabblad Statusproblemen met sensoren
Fouten bij gegevensopname van Radius Accounting (VPN-integratie)
Waarschuwing
Beschrijving
Oplossing
Ernst
Weergegeven in
Fouten bij gegevensopname van Radius Accounting (VPN-integratie).
De vermelde Defender for Identity-sensoren hebben gegevensopnamefouten in radius-accounting (VPN-integratie).
Audit- en diagnostische logboeken in Microsoft Entra-id bieden een uitgebreid overzicht van hoe gebruikers toegang hebben tot uw Azure-oplossing. Informatie over het bewaken, oplossen van problemen en het analyseren van aanmeldingsgegevens.