Lezen in het Engels

Delen via


Microsoft Defender for Identity gezondheidsproblemen

De pagina Microsoft Defender for Identity Statusproblemen bevat alle huidige statusproblemen voor uw Defender for Identity-implementatie en -sensoren, waarbij u wordt gewaarschuwd voor eventuele problemen in uw Defender for Identity-implementatie.

Pagina Statusproblemen

Op de pagina Microsoft Defender for Identity Statusproblemen kunt u zien wanneer er een probleem is met uw Defender for Identity-werkruimte, door een statusprobleem aan te melden. Voer de volgende stappen uit om toegang te krijgen tot de pagina:

  1. Selecteer in Microsoft Defender XDR onder Identiteitende optie Statusproblemen.

  2. De pagina Statusproblemen wordt weergegeven, waar u statusproblemen kunt zien voor zowel uw algemene Defender for Identity-omgeving als specifieke sensoren.

    Defender for Identity ondersteunt de volgende typen statuswaarschuwingen:

    • Domeingerelateerde of geaggregeerde statusproblemen, vermeld op het tabblad Algemene statusproblemen
    • Sensorspecifieke statusproblemen, vermeld op het tabblad Sensorstatusproblemen

    Filter problemen op status, naam van probleem of ernst om u te helpen het probleem te vinden dat u zoekt.

    Bijvoorbeeld:

    Schermopname van de pagina Statusproblemen.

  3. Selecteer een probleem voor meer informatie en de optie om het probleem te sluiten of te onderdrukken. Bijvoorbeeld:

    Schermopname van het detailvenster van een statusprobleem.

Statusproblemen

In deze sectie worden alle statusproblemen voor elk onderdeel beschreven, met een overzicht van de oorzaak en de stappen die nodig zijn om het probleem op te lossen.

Sensorspecifieke statusproblemen worden weergegeven op het tabblad Sensorstatusproblemen en domeingerelateerde of geaggregeerde statusproblemen worden weergegeven op het tabblad Algemene statusproblemen , zoals beschreven in de volgende tabellen:

Een domeincontroller is onbereikbaar voor een sensor

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor heeft beperkte functionaliteit vanwege verbindingsproblemen met de geconfigureerde domeincontroller. Dit is van invloed op de mogelijkheid van Defender for Identity om verdachte activiteiten te detecteren met betrekking tot domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. Zorg ervoor dat de domeincontrollers actief zijn en dat deze Defender for Identity-sensor LDAP-verbindingen met deze domeincontrollers kan openen. Zorg er bovendien voor dat u in Instellingen een Directory Service-account configureert voor elk geïmplementeerd forest. Gemiddeld Tabblad Statusproblemen met sensoren

Alle/sommige van de capture-netwerkadapters op een sensor zijn niet beschikbaar

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Alle/sommige geselecteerde netwerkadapters voor vastleggen op de Defender for Identity-sensor zijn uitgeschakeld of verbroken. Netwerkverkeer voor sommige/alle domeincontrollers wordt niet meer vastgelegd door de Defender for Identity-sensor. Dit probleem is van invloed op de mogelijkheid om verdachte activiteiten te detecteren die betrekking hebben op deze domeincontrollers. Zorg ervoor dat deze geselecteerde netwerkadapters voor vastleggen op de Defender for Identity-sensor zijn ingeschakeld en verbonden. Gemiddeld Tabblad Statusproblemen met sensoren

Gebruikersreferenties van Directory Services zijn onjuist

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De referenties voor het gebruikersaccount van Directory Services zijn onjuist. Dit probleem is van invloed op de mogelijkheid van sensoren om activiteiten te detecteren met behulp van LDAP-query's op domeincontrollers. - Voor een standaard AD-account: controleer of de gebruikersnaam, het wachtwoord en het domein op de configuratiepagina van Directory Services juist zijn.
- Voor beheerde serviceaccounts voor groepen: controleer of de gebruikersnaam en het domein op de configuratiepagina van Directory Services juist zijn. Controleer ook alle andere vereisten voor het gMSA-account die worden beschreven op de pagina Aanbevelingen voor directoryserviceaccounts .
Gemiddeld Tabblad Algemene statusproblemen

Laag slagingspercentage van actieve naamomzetting

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De vermelde Defender for Identity-sensoren kunnen ip-adressen niet meer dan 90% van de tijd omzetten in apparaatnamen met behulp van de volgende methoden:
- NTLM via RPC
-NetBIOS
- Omgekeerde DNS
Dit is van invloed op de detectiemogelijkheden van Defender for Identity en kan het aantal fout-positieve alarmen verhogen. - Voor NTLM via RPC: controleer of poort 135 is geopend voor inkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving.
- Voor reverse DNS: controleer of de sensoren de DNS-server kunnen bereiken en of Reverse Lookup Zones zijn ingeschakeld.
- Voor NetBIOS: controleer of poort 137 is geopend voor inkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving.
Zorg er bovendien voor dat de netwerkconfiguratie (zoals firewalls) de communicatie met de relevante poorten niet verhindert.
Laag Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Geen verkeer ontvangen van domeincontroller

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Er is geen verkeer ontvangen van de domeincontroller via deze Defender for Identity-sensor. Dit probleem kan erop wijzen dat poortspiegeling van de domeincontrollers naar de Defender for Identity-sensor nog niet is geconfigureerd of niet werkt. Controleer of poortspiegeling juist is geconfigureerd op uw netwerkapparaten.

Schakel deze functies in geavanceerde instellingen uit op de NIC van de Defender for Identity-sensoropname:

Segment coalescering ontvangen (IPv4)

Segment coalescering ontvangen (IPv6)
Gemiddeld Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Alleen-lezen gebruikerswachtwoord dat binnenkort verloopt

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Het alleen-lezen gebruikerswachtwoord, dat wordt gebruikt voor het omzetten van entiteiten op Active Directory, verloopt over minder dan 30 dagen. Als het wachtwoord voor deze gebruiker verloopt, worden alle Defender for Identity-sensoren niet meer uitgevoerd en worden er geen nieuwe gegevens verzameld. Wijzig het wachtwoord voor de domeinconnectiviteit en werk vervolgens het wachtwoord van het Directory Service-account bij . Gemiddeld Tabblad Algemene statusproblemen

Alleen-lezen gebruikerswachtwoord is verlopen

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Het alleen-lezen gebruikerswachtwoord, dat wordt gebruikt om directorygegevens op te halen, is verlopen. Alle Defender for Identity-sensoren worden niet meer uitgevoerd of worden binnenkort niet meer uitgevoerd en er worden geen nieuwe gegevens verzameld. Wijzig het wachtwoord voor de domeinconnectiviteit en werk vervolgens het wachtwoord van het Directory Service-account bij . Hoog Tabblad Algemene statusproblemen

Sensor verouderd

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Een Defender for Identity-sensor is verouderd. Op een Defender for Identity-sensor wordt een versie uitgevoerd die niet kan communiceren met de Defender for Identity-cloudinfrastructuur. Werk de sensor handmatig bij en controleer waarom de sensor niet automatisch wordt bijgewerkt. Als deze optie niet werkt, downloadt u het meest recente sensorinstallatiepakket en verwijdert u de sensor en installeert u deze opnieuw. Zie De Microsoft Defender for Identity-sensor downloaden en De Microsoft Defender for Identity-sensor installeren voor meer informatie. Gemiddeld Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Sensor heeft een geheugenresourcelimiet bereikt

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor is gestopt en wordt automatisch opnieuw opgestart om de domeincontroller te beschermen tegen een geheugentekort. De Defender for Identity-sensor dwingt geheugenbeperkingen op zichzelf af om te voorkomen dat de domeincontroller resourcebeperkingen ondervindt. Dit probleem treedt op wanneer het geheugengebruik op de domeincontroller hoog is. Gegevens van deze domeincontroller worden slechts gedeeltelijk bewaakt. Verhoog de hoeveelheid geheugen (RAM) op de domeincontroller of voeg meer domeincontrollers toe op deze site om de belasting van deze domeincontroller beter te verdelen. Gemiddeld Tabblad Statusproblemen met sensoren

De sensorservice kan niet worden gestart

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensorservice kan gedurende ten minste 30 minuten niet worden gestart. Dit probleem kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. Monitor Defender for Identity-sensorlogboeken om inzicht te krijgen in de hoofdoorzaak van de Defender for Identity-sensorservicefout. Hoog Tabblad Statusproblemen met sensoren

Sensor is gestopt met communiceren

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Er is geen communicatie van de Defender for Identity-sensor geweest. De standaardtijdsduur voor deze waarschuwing is 5 minuten. Dit geeft aan dat de sensor geen gegevens of een keep-alive-signaal naar de Defender for Identity-services heeft verzonden gedurende een periode die de toegestane tijd overschrijdt. Dit duidt meestal op een netwerkprobleem in de omgeving dat gegevensoverdracht verhinderde of een server opnieuw opstarten dat langer duurde dan het acceptabele tijdsbestek, wat van invloed is op het vermogen van Defender for Identity om verdachte activiteiten te detecteren. Controleer of de communicatie tussen de Defender for Identity-sensor en de Defender for Identity-cloudservice niet wordt geblokkeerd door routers of firewalls. Gemiddeld Tabblad Statusproblemen met sensoren

Sommige Windows-gebeurtenissen worden niet geanalyseerd

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor ontvangt meer gebeurtenissen dan kan worden verwerkt. Sommige Windows-gebeurtenissen worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. U kunt desgewenst meer processors en geheugen toevoegen . Als u een zelfstandige Defender for Identity-sensor gebruikt, controleert u of alleen de vereiste gebeurtenissen naar de sensor worden doorgestuurd. Of probeer bepaalde gebeurtenissen door te sturen naar een andere Defender for Identity-sensor. Gemiddeld Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Sommige netwerkverkeer kan niet worden geanalyseerd

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor ontvangt meer netwerkverkeer dan kan worden verwerkt. Sommige netwerkverkeer kan niet worden geanalyseerd. Dit probleem kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. U kunt desgewenst meer processors en geheugen toevoegen . Als u een zelfstandige Defender for Identity-sensor gebruikt, vermindert u het aantal bewaakte domeincontrollers.

Dit probleem kan ook optreden als u domeincontrollers gebruikt op virtuele VMware-machines. Om deze problemen te voorkomen, kunt u controleren of de volgende instellingen zijn ingesteld op 0 of Uitgeschakeld op de virtuele machine (in het Windows-besturingssysteem, niet in de VMware-instellingen):

- Large Send Offload V2 (IPv4)

- IPv4 TSO-offload

De namen kunnen variëren, afhankelijk van uw VMware-versie. Zie uw VMware-documentatie voor meer informatie.
Gemiddeld Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Sommige ETW-gebeurtenissen worden niet geanalyseerd

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor ontvangt meer ETW-gebeurtenissen (Event Tracing for Windows) dan deze kan verwerken. Sommige ETW-gebeurtenissen (Event Tracing for Windows) worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid om verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. U kunt desgewenst meer processors en geheugen toevoegen . Gemiddeld Het tabblad Statusproblemen van sensoren en het tabblad Algemene statusproblemen

Sensor die wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund. Windows Server 2012 en 2012 R2 is op 10 oktober 2023 beëindigd. Meer informatie vindt u op: https://aka.ms/mdi/oseos Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os Gemiddeld Tabblad Statusproblemen met sensoren

Sensor die wordt uitgevoerd op een niet-ondersteund besturingssysteem

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor wordt uitgevoerd op een niet-ondersteund besturingssysteem. Windows Server 2012 en 2012 R2 is op 10 oktober 2023 beëindigd. Meer informatie vindt u op: https://aka.ms/mdi/oseos Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os Hoog Tabblad Statusproblemen met sensoren

Sensor heeft problemen met het onderdeel pakketopname

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De Defender for Identity-sensor gebruikt WinPcap-stuurprogramma's in plaats van Npcap-stuurprogramma's. Alle klanten moeten Npcap-stuurprogramma's gebruiken in plaats van de WinPcap-stuurprogramma's. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM. Installeer Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap Hoog Tabblad Statusproblemen met sensoren
Op de Defender for Identity-sensor wordt een Npcap-versie uitgevoerd die ouder is dan de minimaal vereiste versie. De minimaal ondersteunde Npcap-versie is 1.0. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM. Upgrade Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap Gemiddeld Tabblad Statusproblemen met sensoren
De Defender for Identity-sensor voert een Npcap-onderdeel uit dat niet is geconfigureerd zoals vereist. Bij de Npcap-installatie ontbreken de vereiste configuratieopties. Installeer Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap Hoog Tabblad Statusproblemen met sensoren

NTLM-controle is niet ingeschakeld

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
NTLM-controle is niet ingeschakeld. NTLM-controle (voor gebeurtenis-id 8004) is niet ingeschakeld op de server. (Deze configuratie wordt eenmaal per dag per sensor gevalideerd). Schakel NTLM-controle-gebeurtenissen in volgens de richtlijnen zoals beschreven in de sectie Gebeurtenis-id 8004 op de pagina Windows-gebeurtenisverzameling configureren . Gemiddeld Tabblad Statusproblemen met sensoren

Directory Services Advanced Auditing is niet ingeschakeld zoals vereist

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Directory Services Advanced Auditing is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per sensor gevalideerd). De configuratie voor geavanceerde controle van Directory Services bevat niet alle categorieën en subcategorieën zoals vereist. Schakel de Directory Services Advanced Auditing-gebeurtenissen in. Zie Auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie. Gemiddeld Tabblad Statusproblemen met sensoren

Directory Services-objectcontrole is niet ingeschakeld zoals vereist

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Directory Services-objectcontrole is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per domein gevalideerd). De configuratie van Directory Services-objectcontrole bevat niet alle objecttypen en machtigingen zoals vereist. Schakel de directoryservices-objectcontrole-gebeurtenissen in volgens de richtlijnen zoals beschreven in de sectie Controle van domeinobjecten configureren op de pagina Windows-gebeurtenisverzameling configureren . Gemiddeld Tabblad Algemene statusproblemen

Controle op de configuratiecontainer is niet ingeschakeld zoals vereist

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Controle op de configuratiecontainer is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per domein gevalideerd). De Directory Services-controle op de configuratiecontainer van het domein is niet ingeschakeld zoals vereist. Schakel directoryservicescontrole in op de configuratiecontainer van het domein volgens de richtlijnen zoals beschreven in de sectie Controlebeleid configureren op de pagina Windows-gebeurtenisverzameling configureren . Gemiddeld Tabblad Algemene statusproblemen

Controle op de ADFS-container is niet ingeschakeld zoals vereist

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Controle op de ADFS-container is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per domein gevalideerd). De Directory Services-controle op de ADFS-container is niet ingeschakeld zoals vereist. Schakel directoryservicescontrole in op de ADFS-container volgens de richtlijnen zoals beschreven in de sectie Controle op een Active Directory Federation Services (AD FS) configureren op de pagina Windows-gebeurtenisverzameling configureren. Gemiddeld Tabblad Algemene statusproblemen

De energiemodus is niet geconfigureerd voor optimale processorprestaties

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De energiemodus is niet geconfigureerd voor optimale processorprestaties. (Deze configuratie wordt eenmaal per dag per sensor gevalideerd). De energiemodus van het besturingssysteem is niet geconfigureerd voor de optimale instellingen voor processorprestaties. Dit probleem kan van invloed zijn op de prestaties van de server en de mogelijkheid van de sensoren om verdachte activiteiten te detecteren. Voer een van de volgende handelingen uit:

- Configureer de aan/uit-optie van de computer waarop de Defender for Identity-sensor wordt uitgevoerd op hoge prestaties
- Stel de minimale en maximale processorstatus in op 100

Zie de sectie Sensorvereisten en -aanbevelingen op de pagina Vereisten voor Defender for Identity voor meer informatie.
Laag Tabblad Statusproblemen met sensoren

Sensor kan niet schrijven naar het aangepaste logboekpad

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
De sensor kan niet schrijven naar het aangepaste logboekpad. Het aangepaste logboekpad dat is opgegeven in de sensorconfiguratie kan niet worden gemaakt. 1. Stop de AATPSensorUpdater services en AATPSensor .
2. Wijzig het SensorCustomLogLocation in het sensorconfiguratiebestand in een geldig pad of stel het in op null.
3. Start de AATPSensorUpdater services en AATPSensor opnieuw.
Laag Tabblad Statusproblemen met sensoren

Fouten bij gegevensopname van Radius Accounting (VPN-integratie)

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Fouten bij gegevensopname van Radius Accounting (VPN-integratie). De vermelde Defender for Identity-sensoren hebben gegevensopnamefouten in radius-accounting (VPN-integratie). Controleer of het gedeelde geheim in de configuratie-instellingen van Defender for Identity overeenkomt met uw VPN-server, volgens de richtlijnen die zijn beschreven in de sectie Vpn configureren in de sectie Defender for Identity op de integratiepagina van Defender for Identity VPN . Laag Pagina Statusproblemen

Sensor kan Microsoft Entra Connect-serviceconfiguratie niet ophalen

Waarschuwing Beschrijving Oplossing Ernst Weergegeven in
Kan de configuratie van Microsoft Entra Connect-service niet ophalen De sensor kan de configuratie niet ophalen uit de Microsoft Entra Connect-service (ook wel Microsoft Azure AD-synchronisatie genoemd). Zorg ervoor dat de service Microsoft Entra connect (Microsoft Azure AD Sync) wordt uitgevoerd en volg de instructies in Machtigingen configureren voor de Microsoft Entra Connect-database (ADSync) om de sensor de benodigde machtigingen te verlenen. Als het probleem zich blijft voordoen, volgt u de richtlijnen voor het oplossen van problemen met SQL-connectiviteit met Microsoft Entra Connect. Gemiddeld Tabblad Statusproblemen met sensoren

Volgende stappen