Statusproblemen met Microsoft Defender for Identity
Op de pagina Problemen met microsoft Defender for Identity Health worden alle huidige statusproblemen voor uw Defender for Identity-implementatie en -sensoren vermeld, waarbij u wordt gewaarschuwd voor eventuele problemen in uw Defender for Identity-implementatie.
Pagina Statusproblemen
Op de pagina Problemen met Microsoft Defender for Identity Health kunt u zien wanneer er een probleem is met uw Defender for Identity-werkruimte door een statusprobleem op te lossen. Voer de volgende stappen uit om toegang te krijgen tot de pagina:
Selecteer in Microsoft Defender XDR, onder Identiteiten, statusproblemen.
De pagina Statusproblemen wordt weergegeven, waar u statusproblemen kunt zien voor zowel uw algemene Defender for Identity-omgeving als specifieke sensoren.
Defender for Identity ondersteunt de volgende typen statuswaarschuwingen:
- Domeingerelateerde of geaggregeerde statusproblemen, vermeld op het tabblad Algemene statusproblemen
- Sensorspecifieke statusproblemen, vermeld op het tabblad Sensorstatusproblemen
Filter problemen op status, probleemnaam of ernst, zodat u het probleem kunt vinden dat u zoekt.
Voorbeeld:
Selecteer een probleem voor meer informatie en de optie om het probleem te sluiten of te onderdrukken. Voorbeeld:
Statusproblemen
In deze sectie worden alle statusproblemen voor elk onderdeel beschreven, met de oorzaak en de stappen die nodig zijn om het probleem op te lossen.
Sensorspecifieke statusproblemen worden weergegeven op het tabblad Sensorstatusproblemen en domeingerelateerde of geaggregeerde statusproblemen worden weergegeven op het tabblad Algemene statusproblemen , zoals beschreven in de volgende tabellen:
Een domeincontroller is onbereikbaar door een sensor
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor heeft beperkte functionaliteit vanwege connectiviteitsproblemen met de geconfigureerde domeincontroller. | Dit is van invloed op de mogelijkheid van Defender for Identity om verdachte activiteiten te detecteren die zijn gerelateerd aan domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. | Zorg ervoor dat de domeincontrollers actief zijn en dat deze Defender for Identity-sensor LDAP-verbindingen met deze domeincontrollers kan openen. Bovendien moet u in Instellingen een Directory Service-account configureren voor elk geïmplementeerd forest. | Gemiddeld | Tabblad Statusproblemen van sensoren |
Alle/Sommige van de capture-netwerkadapters op een sensor zijn niet beschikbaar
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Alle/Sommige geselecteerde netwerkadapters voor vastleggen op de Defender for Identity-sensor zijn uitgeschakeld of verbroken. | Netwerkverkeer voor sommige/alle domeincontrollers wordt niet meer vastgelegd door de Defender for Identity-sensor. Dit probleem is van invloed op de mogelijkheid verdachte activiteiten te detecteren, gerelateerd aan deze domeincontrollers. | Zorg ervoor dat deze geselecteerde netwerkadapters op de Defender for Identity-sensor zijn ingeschakeld en verbonden. | Gemiddeld | Tabblad Statusproblemen van sensoren |
De referenties van de Directory Services-gebruiker zijn onjuist
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De referenties voor het gebruikersaccount van directoryservices zijn onjuist. | Dit probleem is van invloed op de mogelijkheid van sensoren om activiteiten te detecteren met LDAP-query's op domeincontrollers. | - Voor een standaard AD-account: Controleer of de gebruikersnaam, het wachtwoord en het domein op de configuratiepagina van directoryservices juist zijn. - Voor beheerde serviceaccounts voor groepen: controleer of de gebruikersnaam en het domein op de configuratiepagina van Directory Services juist zijn. Controleer ook alle andere vereisten voor gMSA-accounts die worden beschreven op de pagina aanbevelingen voor directoryserviceaccounts. |
Gemiddeld | Tabblad Problemen met globale status |
Laag slagingspercentage van actieve naamomzetting
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De vermelde Defender for Identity-sensoren kunnen ip-adressen niet meer dan 90% van de tijd omzetten met behulp van de volgende methoden: - NTLM via RPC -NetBIOS - Omgekeerde DNS |
Dit is van invloed op de detectiemogelijkheden van Defender for Identity en kan het aantal fout-positieve waarschuwingen verhogen. | - Voor NTLM via RPC: Controleer of poort 135 is geopend voor binnenkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving. - Voor omgekeerde DNS: controleer of de sensoren de DNS-server kunnen bereiken en of Zones voor reverse lookup zijn ingeschakeld. - Voor NetBIOS: Controleer of poort 137 is geopend voor binnenkomende communicatie van Defender for Identity-sensoren op alle computers in de omgeving. Zorg er bovendien voor dat de netwerkconfiguratie (zoals firewalls) de communicatie met de relevante poorten niet verhindert. |
Beperkt | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Geen verkeer ontvangen van domeincontroller
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Er is geen verkeer ontvangen van de domeincontroller via deze Defender for Identity-sensor. | Dit probleem kan erop wijzen dat poortspiegeling van de domeincontrollers naar de Defender for Identity-sensor nog niet is geconfigureerd of niet werkt. | Controleer of poortspiegeling juist is geconfigureerd op uw netwerkapparaten. Schakel op de NIC van de Defender for Identity-sensor de volgende functies uit in Geavanceerde instellingen: Segment samenvoegen ontvangen (IPv4) Segment samenvoegen (IPv6) ontvangen |
Gemiddeld | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Alleen-lezen gebruikerswachtwoord om binnenkort te verlopen
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Het alleen-lezen gebruikerswachtwoord, dat wordt gebruikt om de oplossing van entiteiten op Active Directory uit te voeren, verloopt over minder dan 30 dagen. | Als het wachtwoord voor deze gebruiker verloopt, worden alle Defender for Identity-sensoren niet meer uitgevoerd en worden er geen nieuwe gegevens verzameld. | Wijzig het wachtwoord voor de domeinconnectiviteit en werk vervolgens het wachtwoord van het Directory Service-account bij. | Gemiddeld | Tabblad Problemen met globale status |
Alleen-lezen gebruikerswachtwoord verlopen
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Het alleen-lezen gebruikerswachtwoord, dat wordt gebruikt om mapgegevens op te halen, is verlopen. | Alle Defender for Identity-sensoren worden niet meer uitgevoerd of worden binnenkort niet meer uitgevoerd en er worden geen nieuwe gegevens verzameld. | Wijzig het wachtwoord voor de domeinconnectiviteit en werk vervolgens het wachtwoord van het Directory Service-account bij. | Hoog | Tabblad Problemen met globale status |
Sensor verouderd
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Een Defender for Identity-sensor is verouderd. | Een Defender for Identity-sensor voert een versie uit die niet kan communiceren met de cloudinfrastructuur van Defender for Identity. | Werk de sensor handmatig bij en controleer waarom de sensor niet automatisch wordt bijgewerkt. Als deze optie niet werkt, downloadt u het nieuwste sensorinstallatiepakket en verwijdert en installeert u de sensor opnieuw. Zie De Microsoft Defender for Identity-sensor downloaden en de Microsoft Defender for Identity-sensor installeren voor meer informatie. | Gemiddeld | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Sensor heeft een geheugenresourcelimiet bereikt
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor is gestopt en wordt automatisch opnieuw opgestart om de domeincontroller te beschermen tegen een lage geheugenconditie. | De Defender for Identity-sensor dwingt geheugenbeperkingen op zichzelf af om te voorkomen dat de domeincontroller resourcebeperkingen ondervindt. Dit probleem treedt op wanneer het geheugengebruik op de domeincontroller hoog is. Gegevens van deze domeincontroller worden slechts gedeeltelijk bewaakt. | Verhoog de hoeveelheid geheugen (RAM) op de domeincontroller of voeg meer domeincontrollers toe op deze site om de belasting van deze domeincontroller beter te verdelen. | Gemiddeld | Tabblad Statusproblemen van sensoren |
Sensorservice kan niet worden gestart
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensorservice kan ten minste 30 minuten niet worden gestart. | Dit probleem kan van invloed zijn op de mogelijkheid verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. | Bewaak defender for Identity-sensorlogboeken om inzicht te hebben in de hoofdoorzaak van defender for Identity-sensorservicefouten. | Hoog | Tabblad Statusproblemen van sensoren |
De sensor communiceert niet meer
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Er is geen communicatie van de Defender for Identity-sensor. De standaardtijdsduur voor deze waarschuwing is vijf minuten. | Netwerkverkeer wordt niet meer vastgelegd door de netwerkadapter op de Defender for Identity-sensor. Dit is van invloed op de mogelijkheid van Defender for Identity om verdachte activiteiten te detecteren, omdat netwerkverkeer de Defender for Identity-cloudservice niet kan bereiken. | Controleer of de poort die wordt gebruikt voor de communicatie tussen de Defender for Identity-sensor en de Defender for Identity-cloudservice niet wordt geblokkeerd door routers of firewalls. | Gemiddeld | Tabblad Statusproblemen van sensoren |
Sommige Windows-gebeurtenissen worden niet geanalyseerd
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor ontvangt meer gebeurtenissen dan kan worden verwerkt. | Sommige Windows-gebeurtenissen worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. | Overweeg om naar behoefte meer processors en geheugen toe te voegen. Als u een zelfstandige Defender for Identity-sensor gebruikt, controleert u of alleen de vereiste gebeurtenissen worden doorgestuurd naar de sensor. Of probeer bepaalde gebeurtenissen door te sturen naar een andere Defender for Identity-sensor. | Gemiddeld | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Kan niet al het netwerkverkeer analyseren
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor ontvangt meer netwerkverkeer dan kan worden verwerkt. | Sommige netwerkverkeer kan niet worden geanalyseerd. Dit probleem kan van invloed zijn op de mogelijkheid verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. | Overweeg om naar behoefte meer processors en geheugen toe te voegen. Als u een zelfstandige Defender for Identity-sensor gebruikt, vermindert u het aantal domeincontrollers dat wordt bewaakt. Dit probleem kan ook optreden als u domeincontrollers gebruikt op virtuele VMware-machines. U kunt deze problemen voorkomen door te controleren of de volgende instellingen zijn ingesteld op 0 of uitgeschakeld op de virtuele machine (in het Windows-besturingssysteem, niet in de VMware-instellingen): - Large Send Offload V2 (IPv4) - IPv4 TSO Offload De namen kunnen variëren, afhankelijk van uw VMware-versie. Zie uw VMware-documentatie voor meer informatie. |
Gemiddeld | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Sommige ETW-gebeurtenissen worden niet geanalyseerd
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor ontvangt meer ETW-gebeurtenissen (Event Tracing for Windows) dan kan worden verwerkt. | Sommige ETW-gebeurtenissen (Event Tracing for Windows) worden niet geanalyseerd. Dit kan van invloed zijn op de mogelijkheid verdachte activiteiten te detecteren die afkomstig zijn van domeincontrollers die worden bewaakt door deze Defender for Identity-sensor. | Overweeg om naar behoefte meer processors en geheugen toe te voegen. | Gemiddeld | Tabblad Statusproblemen van sensoren en tabblad Algemene statusproblemen |
Sensor die wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor wordt uitgevoerd op een besturingssysteem dat binnenkort niet meer wordt ondersteund. | Windows Server 2012 en 2012 R2 bereikt het einde van de ondersteuning op 10 oktober 2023. Meer details zijn te vinden op: https://aka.ms/mdi/oseos | Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os | Gemiddeld | Tabblad Statusproblemen van sensoren |
Sensor die wordt uitgevoerd op een niet-ondersteund besturingssysteem
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor wordt uitgevoerd op een niet-ondersteund besturingssysteem. | Windows Server 2012 en 2012 R2 bereikt het einde van de ondersteuning op 10 oktober 2023. Meer informatie vindt u op: https://aka.ms/mdi/oseos | Het besturingssysteem op de server moet worden bijgewerkt naar het meest recente ondersteunde besturingssysteem. Zie voor meer informatie: https://aka.ms/mdi/os | Hoog | Tabblad Statusproblemen van sensoren |
Sensor heeft problemen met het vastleggen van pakketten
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De Defender for Identity-sensor gebruikt WinPcap-stuurprogramma's in plaats van Npcap-stuurprogramma's. | Alle klanten moeten Npcap-stuurprogramma's gebruiken in plaats van de WinPcap-stuurprogramma's. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM. | Installeer Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap | Hoog | Tabblad Statusproblemen van sensoren |
| De Defender for Identity-sensor voert een Npcap-versie uit die ouder is dan de minimaal vereiste versie. | De minimaal ondersteunde Npcap-versie is 1.0. Vanaf Defender for Identity versie 2.184 installeert het installatiepakket Npcap 1.0 OEM. | Upgrade Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap | Gemiddeld | Tabblad Statusproblemen van sensoren |
| De Defender for Identity-sensor voert een Npcap-onderdeel uit dat niet is geconfigureerd zoals vereist. | De npcap-installatie ontbreekt de vereiste configuratieopties. | Installeer Npcap volgens de richtlijnen zoals beschreven in: https://aka.ms/mdi/npcap | Hoog | Tabblad Statusproblemen van sensoren |
NTLM-controle is niet ingeschakeld
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| NTLM-controle is niet ingeschakeld. | NTLM Auditing (voor gebeurtenis-id 8004) is niet ingeschakeld op de server. (Deze configuratie wordt één keer per dag per dag gevalideerd, per sensor). | Schakel NTLM-controle-gebeurtenissen in volgens de richtlijnen zoals beschreven in de sectie Gebeurtenis-id 8004 , op de pagina Windows-gebeurtenisverzameling configureren. | Gemiddeld | Tabblad Statusproblemen van sensoren |
Geavanceerde controle van Directory Services is niet ingeschakeld zoals vereist
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Geavanceerde controle van Directory Services is niet ingeschakeld zoals vereist. (Deze configuratie wordt één keer per dag per dag gevalideerd, per sensor). | De configuratie voor geavanceerde controle van Directory Services bevat niet alle categorieën en subcategorieën zoals vereist. | Schakel de gebeurtenissen voor geavanceerde controle van Directory Services in. Zie Auditbeleid configureren voor Windows-gebeurtenislogboeken voor meer informatie. | Gemiddeld | Tabblad Statusproblemen van sensoren |
Directory Services-objectcontrole is niet ingeschakeld zoals vereist
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Directory Services-objectcontrole is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per dag gevalideerd per domein). | De configuratie voor het controleren van directoryservicesobjecten bevat niet alle objecttypen en machtigingen zoals vereist. | Schakel de gebeurtenissen voor objectcontrole van Directory Services in volgens de richtlijnen zoals beschreven in de sectie Domeinobjectcontrole configureren op de pagina Windows-gebeurtenisverzameling configureren. | Gemiddeld | Tabblad Problemen met globale status |
Controle op de configuratiecontainer is niet ingeschakeld zoals vereist
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Controle op de configuratiecontainer is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per dag gevalideerd per domein). | De directoryservicescontrole voor de configuratiecontainer van het domein is niet ingeschakeld zoals vereist. | Schakel de directoryservicescontrole in op de configuratiecontainer van het domein volgens de richtlijnen zoals beschreven in de sectie Controlebeleid configureren op de pagina Windows-gebeurtenisverzameling configureren. | Gemiddeld | Tabblad Problemen met globale status |
Controle op de ADFS-container is niet ingeschakeld zoals vereist
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Controle op de ADFS-container is niet ingeschakeld zoals vereist. (Deze configuratie wordt eenmaal per dag per dag gevalideerd per domein). | De controle van Directory Services op de ADFS-container is niet ingeschakeld zoals vereist. | Schakel de directoryservicescontrole in op de ADFS-container volgens de richtlijnen zoals beschreven in de sectie Controle configureren op een Ad FS-sectie (Active Directory Federation Services) op de pagina Windows-gebeurtenisverzameling configureren. | Gemiddeld | Tabblad Problemen met globale status |
De energiemodus is niet geconfigureerd voor optimale processorprestaties
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| De energiemodus is niet geconfigureerd voor optimale processorprestaties. (Deze configuratie wordt één keer per dag per dag gevalideerd, per sensor). | De energiemodus van het besturingssysteem is niet geconfigureerd voor de optimale instellingen voor processorprestaties. Dit probleem kan van invloed zijn op de prestaties van de server en de mogelijkheid van de sensoren om verdachte activiteiten te detecteren. | Ga op een van de volgende manieren te werk: - Configureer de energieoptie van de machine waarop de Defender for Identity-sensor wordt uitgevoerd op High Performance - De minimale en maximale processorstatus instellen op 100 Zie de sectie Sensorvereisten en aanbevelingen op de pagina vereisten voor Defender for Identity voor meer informatie. |
Beperkt | Tabblad Statusproblemen van sensoren |
Sensor kan niet schrijven naar het aangepaste logboekpad
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Sensor kan niet schrijven naar het aangepaste logboekpad. | Het aangepaste logboekpad dat is opgegeven in de sensorconfiguratie, kan niet worden gemaakt. | 1. Stop de AATPSensorUpdater en AATPSensor services. 2. Wijzig het SensorCustomLogLocation in het sensorconfiguratiebestand in een geldig pad of stel het in op null. 3. Start de AATPSensorUpdater en AATPSensor services opnieuw. |
Beperkt | Tabblad Statusproblemen van sensoren |
Fouten bij het opnemen van gegevens in Radius accounting (VPN-integratie)
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Radius accounting (VPN Integration) gegevensopnamefouten. | De vermelde Defender for Identity-sensoren hebben radius accounting -gegevensopnamefouten (VPN-integratie). | Controleer of het gedeelde geheim in de configuratie-instellingen van Defender for Identity overeenkomt met uw VPN-server, volgens de richtlijnen die worden beschreven in de sectie VPN configureren in de sectie Defender for Identity VPN op de integratiepagina van Defender for Identity VPN. | Beperkt | Pagina Statusproblemen |
De sensor kan de configuratie van de Microsoft Entra Connect-service niet ophalen
| Waarschuwing | Beschrijving | Oplossing | Ernst | Weergegeven in |
|---|---|---|---|---|
| Kan de configuratie van de Microsoft Entra Connect-service niet ophalen | De sensor kan de configuratie niet ophalen uit de Microsoft Entra Connect-service (ook wel Microsoft Azure AD-synchronisatie genoemd). | Zorg ervoor dat de Microsoft Entra Connect-service (Microsoft Azure AD Sync) wordt uitgevoerd en volg de instructies in De machtigingen configureren voor de Microsoft Entra Connect-database (ADSync) om de sensor de benodigde machtigingen te verlenen. Als het probleem zich blijft voordoen, volgt u de richtlijnen voor het oplossen van problemen met SQL-connectiviteit met Microsoft Entra Connect. | Gemiddeld | Tabblad Statusproblemen van sensoren |