Problemy z kondycją usługi Microsoft Defender for Identity
Strona Problemy z usługą Microsoft Defender for Identity Health zawiera listę bieżących problemów z kondycją wdrożeń i czujników usługi Defender for Identity, ostrzegając o wszelkich problemach we wdrożeniu usługi Defender for Identity.
Strona Problemów z kondycją
Strona Problemów z usługą Microsoft Defender for Identity Health informuje o problemie z obszarem roboczym usługi Defender for Identity przez zgłoszenie problemu z kondycją. Aby uzyskać dostęp do strony, wykonaj następujące kroki:
W usłudze Microsoft Defender XDR w obszarze Tożsamości wybierz pozycję Problemy z kondycją.
Zostanie wyświetlona strona Problemy ze kondycją, na której można zobaczyć problemy z kondycją zarówno dla ogólnego środowiska usługi Defender for Identity, jak i określonych czujników.
Usługa Defender for Identity obsługuje następujące typy alertów dotyczących kondycji:
- Problemy z kondycją związane z domeną lub zagregowane na karcie Globalne problemy z kondycją
- Problemy z kondycją specyficzną dla czujnika na karcie Problemy z kondycją czujnika
Filtruj problemy według stanu, nazwy problemu lub ważności, aby ułatwić znalezienie szukanych problemów.
Na przykład:
Wybierz dowolny problem, aby uzyskać więcej szczegółów i opcję zamknięcia lub pomiń problem. Na przykład:
Problemy z kondycją
W tej sekcji opisano wszystkie problemy z kondycją każdego składnika, listę przyczyn i kroki niezbędne do rozwiązania problemu.
Problemy z kondycją specyficzną dla czujnika są wyświetlane na karcie Problemy z kondycją czujnika, a problemy z kondycją związane z domeną lub zagregowane są wyświetlane na karcie Globalne problemy ze kondycją, zgodnie z opisem w poniższych tabelach:
Kontroler domeny jest nieosiągalny przez czujnik
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity ma ograniczoną funkcjonalność z powodu problemów z łącznością ze skonfigurowanym kontrolerem domeny. | Ma to wpływ na możliwość wykrywania podejrzanych działań związanych z kontrolerami domeny monitorowanych przez ten czujnik usługi Defender for Identity. | Upewnij się, że kontrolery domeny są uruchomione i że ten czujnik usługi Defender for Identity może otwierać połączenia LDAP z nimi. Ponadto w obszarze Ustawienia upewnij się, że skonfigurowano konto usługi katalogowej dla każdego wdrożonego lasu. | Śred. | Karta Problemy z kondycją czujników |
Wszystkie/Niektóre karty sieciowe przechwytywania na czujniku są niedostępne
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Wszystkie/Niektóre z wybranych kart sieciowych przechwytywania w czujniku usługi Defender for Identity są wyłączone lub odłączone. | Ruch sieciowy dla niektórych/wszystkich kontrolerów domeny nie jest już przechwytywany przez czujnik usługi Defender for Identity. Ten problem ma wpływ na możliwość wykrywania podejrzanych działań związanych z tymi kontrolerami domeny. | Upewnij się, że te wybrane karty sieciowe przechwytywania na czujniku usługi Defender for Identity są włączone i połączone. | Śred. | Karta Problemy z kondycją czujników |
Poświadczenia użytkownika usług katalogowych są niepoprawne
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Poświadczenia konta użytkownika usług katalogowych są nieprawidłowe. | Ten problem ma wpływ na możliwość wykrywania działań przy użyciu zapytań LDAP względem kontrolerów domeny. | — W przypadku kont usługi AD w warstwie Standardowa : sprawdź, czy nazwa użytkownika, hasło i domena na stronie konfiguracji usług katalogowych są poprawne. — W przypadku kont usług zarządzanych przez grupę: sprawdź, czy nazwa użytkownika i domena na stronie konfiguracji usług katalogowych są poprawne. Sprawdź również wszystkie inne wymagania wstępne konta usługi zarządzanego przez grupę opisane na stronie zaleceń dotyczących konta usługi katalogowej. |
Śred. | Karta Globalne problemy z kondycją |
Niski współczynnik powodzenia aktywnego rozpoznawania nazw
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Wymienione czujniki usługi Defender for Identity nie rozpoznają adresów IP nazw urządzeń w ponad 90% czasu przy użyciu następujących metod: - NTLM przez RPC -Netbios - Odwrotny system DNS |
Ma to wpływ na możliwości wykrywania usługi Defender for Identity i może zwiększyć liczbę alarmów fałszywie dodatnich. | — W przypadku protokołu NTLM przez RPC: sprawdź, czy port 135 jest otwarty dla komunikacji przychodzącej z czujników usługi Defender for Identity na wszystkich komputerach w środowisku. — W przypadku odwrotnego systemu DNS: sprawdź, czy czujniki mogą uzyskać dostęp do serwera DNS i czy strefy wyszukiwania wstecznego są włączone. — W przypadku rozwiązania NetBIOS: sprawdź, czy port 137 jest otwarty dla komunikacji przychodzącej z czujników usługi Defender for Identity na wszystkich komputerach w środowisku. Ponadto upewnij się, że konfiguracja sieci (na przykład zapory) nie uniemożliwia komunikacji z odpowiednimi portami. |
Niski | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Brak ruchu odebranego z kontrolera domeny
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Żaden ruch nie został odebrany z kontrolera domeny za pośrednictwem tego czujnika usługi Defender for Identity. | Ten problem może wskazywać, że dublowanie portów z kontrolerów domeny do czujnika usługi Defender for Identity nie jest jeszcze skonfigurowane lub nie działa. | Sprawdź, czy dublowanie portów jest prawidłowo skonfigurowane na urządzeniach sieciowych. Na karcie sieciowej przechwytywania czujnika usługi Defender for Identity wyłącz następujące funkcje w obszarze Ustawienia zaawansowane: Łączenie segmentów odbierania (IPv4) Łączenie segmentów odbierania (IPv6) |
Śred. | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Hasło użytkownika tylko do odczytu wkrótce wygaśnie
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Hasło użytkownika tylko do odczytu, używane do rozpoznawania jednostek w usłudze Active Directory, wkrótce wygaśnie w mniej niż 30 dni. | Jeśli hasło dla tego użytkownika wygaśnie, wszystkie czujniki usługi Defender for Identity przestaną działać i nie są zbierane żadne nowe dane. | Zmień hasło łączności domeny, a następnie zaktualizuj hasło konta usługi katalogowej. | Śred. | Karta Globalne problemy z kondycją |
Hasło użytkownika tylko do odczytu wygasło
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Hasło użytkownika tylko do odczytu używane do pobierania danych katalogu wygasło. | Wszystkie czujniki usługi Defender for Identity przestaną działać lub wkrótce przestaną działać i nie są zbierane żadne nowe dane. | Zmień hasło łączności domeny, a następnie zaktualizuj hasło konta usługi katalogowej. | Wys. | Karta Globalne problemy z kondycją |
Nieaktualny czujnik
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity jest nieaktualny. | Czujnik usługi Defender for Identity uruchamia wersję, która nie może komunikować się z infrastrukturą chmury usługi Defender for Identity. | Ręcznie zaktualizuj czujnik i sprawdź, dlaczego czujnik nie jest automatycznie aktualizowany. Jeśli ta opcja nie działa, pobierz najnowszy pakiet instalacyjny czujnika i odinstaluj i zainstaluj ponownie czujnik. Aby uzyskać więcej informacji, zobacz Pobieranie czujnika usługi Microsoft Defender for Identity i Instalowanie czujnika usługi Microsoft Defender for Identity. | Śred. | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Czujnik osiągnął limit zasobów pamięci
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity zatrzymał się i zostanie automatycznie uruchomiony ponownie, aby chronić kontroler domeny przed niskim stanem pamięci. | Czujnik usługi Defender for Identity wymusza ograniczenia pamięci, aby uniemożliwić kontrolerowi domeny występowanie ograniczeń zasobów. Ten problem występuje, gdy użycie pamięci na kontrolerze domeny jest wysokie. Dane z tego kontrolera domeny są monitorowane tylko częściowo. | Zwiększ ilość pamięci (RAM) na kontrolerze domeny lub dodaj więcej kontrolerów domeny w tej lokacji, aby lepiej rozłożyć obciążenie tego kontrolera domeny. | Śred. | Karta Problemy z kondycją czujników |
Nie można uruchomić usługi czujnika
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Nie można uruchomić usługi czujnika usługi Defender for Identity przez co najmniej 30 minut. | Ten problem może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. | Monitoruj dzienniki czujnika usługi Defender for Identity, aby zrozumieć główną przyczynę niepowodzenia usługi czujnika usługi Defender for Identity. | Wys. | Karta Problemy z kondycją czujników |
Komunikacja z czujnikiem została wstrzymana
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Nie było komunikacji z czujnika usługi Defender for Identity. Domyślny przedział czasu dla tego alertu wynosi 5 minut. | Ruch sieciowy nie jest już przechwytywany przez kartę sieciową w czujniku usługi Defender for Identity. Ma to wpływ na możliwość wykrywania podejrzanych działań przez usługę Defender for Identity, ponieważ ruch sieciowy nie może nawiązać połączenia z usługą Defender for Identity w chmurze. | Sprawdź, czy port używany do komunikacji między czujnikiem usługi Defender for Identity i usługą Defender for Identity w chmurze nie jest blokowany przez żadne routery ani zapory. | Śred. | Karta Problemy z kondycją czujników |
Niektóre zdarzenia systemu Windows nie są analizowane
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity odbiera więcej zdarzeń niż może przetworzyć. | Niektóre zdarzenia systemu Windows nie są analizowane. Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. | Rozważ dodanie większej liczby procesorów i pamięci zgodnie z potrzebami. Jeśli używasz autonomicznego czujnika usługi Defender for Identity, sprawdź, czy tylko wymagane zdarzenia są przekazywane do czujnika. Możesz też spróbować przekazać niektóre zdarzenia do innego czujnika usługi Defender for Identity. | Śred. | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Nie można było przeanalizować części ruchu sieciowego
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity odbiera więcej ruchu sieciowego niż może przetworzyć. | Nie można przeanalizować niektórych ruchów sieciowych. Ten problem może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. | Rozważ dodanie większej liczby procesorów i pamięci zgodnie z potrzebami. Jeśli używasz autonomicznego czujnika usługi Defender for Identity, zmniejsz liczbę monitorowanych kontrolerów domeny. Ten problem może również wystąpić, jeśli używasz kontrolerów domeny na maszynach wirtualnych VMware. Aby uniknąć tych problemów, możesz sprawdzić, czy następujące ustawienia są ustawione na wartość 0 lub Wyłączone na maszynie wirtualnej (w systemie operacyjnym Windows, a nie w ustawieniach programu VMware): - Duże odciążanie wysyłania w wersji 2 (IPv4) - Odciążanie TSO protokołu IPv4 Nazwy mogą się różnić w zależności od wersji programu VMware. Aby uzyskać więcej informacji, zobacz dokumentację oprogramowania VMware. |
Śred. | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Niektóre zdarzenia funkcji ETW nie są analizowane
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity odbiera więcej zdarzeń śledzenia zdarzeń systemu Windows (ETW), niż może przetworzyć. | Niektóre zdarzenia śledzenia zdarzeń systemu Windows (ETW) nie są analizowane. Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. | Rozważ dodanie większej liczby procesorów i pamięci zgodnie z potrzebami. | Śred. | Karta Problemy z kondycją czujników i karta Globalne problemy z kondycją |
Czujnik uruchomiony w systemie operacyjnym, który wkrótce stanie się nieobsługiwany
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity jest uruchomiony w systemie operacyjnym, który wkrótce stanie się nieobsługiwany. | Systemy Windows Server 2012 i 2012 R2 zakończyły wsparcie 10 października 2023 r. Więcej szczegółów można znaleźć pod adresem: https://aka.ms/mdi/oseos | System operacyjny na serwerze powinien zostać uaktualniony do najnowszego obsługiwanego systemu operacyjnego. Aby uzyskać więcej informacji, zobacz: https://aka.ms/mdi/os | Śred. | Karta Problemy z kondycją czujników |
Czujnik uruchomiony w nieobsługiwanym systemie operacyjnym
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity jest uruchomiony w nieobsługiwanym systemie operacyjnym. | Systemy Windows Server 2012 i 2012 R2 zakończyły wsparcie 10 października 2023 r. Więcej szczegółów można znaleźć na stronie: https://aka.ms/mdi/oseos | System operacyjny na serwerze powinien zostać uaktualniony do najnowszego obsługiwanego systemu operacyjnego. Aby uzyskać więcej informacji, zobacz: https://aka.ms/mdi/os | Wys. | Karta Problemy z kondycją czujników |
Czujnik ma problemy ze składnikiem przechwytywania pakietów
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik usługi Defender for Identity używa sterowników WinPcap zamiast sterowników Npcap. | Wszyscy klienci powinni używać sterowników Npcap zamiast sterowników WinPcap. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje rozwiązanie Npcap 1.0 OEM. | Zainstaluj narzędzie Npcap zgodnie ze wskazówkami opisanymi w artykule: https://aka.ms/mdi/npcap | Wys. | Karta Problemy z kondycją czujników |
| Czujnik usługi Defender for Identity korzysta z wersji npcap starszej niż minimalna wymagana wersja. | Minimalna obsługiwana wersja serwera Npcap to 1.0. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje rozwiązanie Npcap 1.0 OEM. | Uaktualnij narzędzie Npcap zgodnie ze wskazówkami opisanymi w temacie: https://aka.ms/mdi/npcap | Śred. | Karta Problemy z kondycją czujników |
| Czujnik usługi Defender for Identity uruchamia składnik Npcap, który nie jest skonfigurowany zgodnie z wymaganiami. | W instalacji serwera Npcap brakuje wymaganych opcji konfiguracji. | Zainstaluj narzędzie Npcap zgodnie ze wskazówkami opisanymi w artykule: https://aka.ms/mdi/npcap | Wys. | Karta Problemy z kondycją czujników |
Inspekcja NTLM nie jest włączona
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Inspekcja NTLM nie jest włączona. | Inspekcja NTLM (dla zdarzenia o identyfikatorze 8004) nie jest włączona na serwerze. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). | Włącz zdarzenia inspekcji NTLM zgodnie ze wskazówkami opisanymi w sekcji Identyfikator zdarzenia 8004 na stronie Konfigurowanie zbierania zdarzeń systemu Windows. | Śred. | Karta Problemy z kondycją czujników |
Inspekcja zaawansowana usług katalogowych nie jest włączona zgodnie z wymaganiami
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Zaawansowane inspekcje usług katalogowych nie są włączone zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). | Konfiguracja inspekcji zaawansowanej usług katalogowych nie obejmuje wszystkich kategorii i podkategorii zgodnie z wymaganiami. | Włącz zaawansowane zdarzenia inspekcji usług katalogowych. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows. | Śred. | Karta Problemy z kondycją czujników |
Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). | Konfiguracja inspekcji obiektów usług katalogowych nie obejmuje wszystkich typów obiektów i uprawnień zgodnie z wymaganiami. | Włącz zdarzenia inspekcji obiektów usług katalogowych zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie inspekcji obiektów domeny na stronie Konfigurowanie zbierania zdarzeń systemu Windows. | Śred. | Karta Globalne problemy z kondycją |
Inspekcja kontenera konfiguracji nie jest włączona zgodnie z wymaganiami
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Inspekcja kontenera konfiguracji nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). | Inspekcja usług katalogowych w kontenerze konfiguracji domeny nie jest włączona zgodnie z wymaganiami. | Włącz inspekcję usług katalogowych w kontenerze konfiguracji domeny zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie zasad inspekcji na stronie Konfigurowanie zbierania zdarzeń systemu Windows. | Śred. | Karta Globalne problemy z kondycją |
Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). | Inspekcja usług katalogowych w kontenerze usług AD FS nie jest włączona zgodnie z wymaganiami. | Włącz inspekcję usług katalogowych w kontenerze usług ADFS zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS) na stronie Konfigurowanie zbierania zdarzeń systemu Windows. | Śred. | Karta Globalne problemy z kondycją |
Tryb zasilania nie jest skonfigurowany pod kątem optymalnej wydajności procesora
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Tryb zasilania nie jest skonfigurowany pod kątem optymalnej wydajności procesora. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). | Tryb zasilania systemu operacyjnego nie jest skonfigurowany do optymalnych ustawień wydajności procesora. Ten problem może mieć wpływ na wydajność serwera i zdolność czujników do wykrywania podejrzanych działań. | Wykonaj jedną z następujących czynności: — Skonfiguruj opcję zasilania maszyny z czujnikiem usługi Defender for Identity na wartość Wysoka wydajność - Ustaw zarówno minimalny, jak i maksymalny stan procesora na 100 Aby uzyskać więcej informacji, zobacz sekcję Wymagania i zalecenia dotyczące czujników na stronie Wymagań wstępnych usługi Defender for Identity. |
Niski | Karta Problemy z kondycją czujników |
Nie można zapisać czujnika w niestandardowej ścieżce dziennika
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Czujnik nie może zapisać w niestandardowej ścieżce dziennika. | Nie można utworzyć niestandardowej ścieżki dziennika podanej w konfiguracji czujnika. | 1. Zatrzymaj AATPSensorUpdater usługi i AATPSensor . 2. Zmień wartość SensorCustomLogLocation w pliku konfiguracji czujnika na prawidłową ścieżkę lub ustaw ją na wartość null. 3. Uruchom AATPSensorUpdater ponownie usługi i AATPSensor . |
Niski | Karta Problemy z kondycją czujników |
Błędy pozyskiwania danych ewidencjonowania aktywności usługi Radius (integracja sieci VPN)
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Błędy pozyskiwania danych ewidencjonowania aktywności usługi Radius (integracja sieci VPN). | Wymienione czujniki usługi Defender for Identity mają błędy pozyskiwania danych z ewidencjonowaniem promieni (integracja sieci VPN). | Sprawdź, czy wspólny wpis tajny w ustawieniach konfiguracji usługi Defender for Identity jest zgodny z serwerem sieci VPN zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie sieci VPN w usłudze Defender for Identity na stronie integracji z siecią VPN usługi Defender for Identity. | Niski | Strona Problemów z kondycją |
Nie można pobrać konfiguracji usługi Microsoft Entra Connect
| Alerty | opis | Rozwiązanie | Ważność | Wyświetlane w |
|---|---|---|---|---|
| Nie można pobrać konfiguracji usługi Microsoft Entra Connect | Czujnik nie może pobrać konfiguracji z usługi Microsoft Entra Connect (znanej również jako synchronizacja usługi Microsoft Azure AD). | Upewnij się, że usługa Microsoft Entra Connect (Microsoft Azure AD Sync) jest uruchomiona i postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień dla bazy danych Microsoft Entra Connect (ADSync), aby udzielić czujnikowi niezbędnych uprawnień. Jeśli problem będzie się powtarzać, postępuj zgodnie ze wskazówkami dotyczącymi rozwiązywania problemów w artykule Problemy z łącznością SQL z programem Microsoft Entra Connect. | Śred. | Karta Problemy z kondycją czujników |