Problemas de integridade do Microsoft Defender for Identity
A página Microsoft Defender for Identity Health Issues lista todos os problemas de integridade atuais da implantação e dos sensores do Defender for Identity, alertando-o sobre quaisquer problemas na implantação do Defender for Identity.
Página sobre questões de saúde
A página Microsoft Defender for Identity Health issues permite que você saiba quando há um problema com seu espaço de trabalho do Defender for Identity, levantando um problema de integridade. Para aceder à página, siga estes passos:
No Microsoft Defender XDR, em Identidades, selecione Problemas de integridade.
A página Problemas de integridade é exibida, onde você pode ver problemas de integridade tanto para o ambiente geral do Defender for Identity quanto para sensores específicos.
O Defender for Identity suporta os seguintes tipos de alertas de integridade:
- Problemas de saúde agregados ou relacionados ao domínio, listados na guia Problemas de saúde globais
- Problemas de saúde específicos do sensor, listados na guia Problemas de integridade do sensor
Filtre os problemas por status, nome do problema ou gravidade para ajudá-lo a encontrar o problema que está procurando.
Por exemplo:
Selecione qualquer problema para obter mais detalhes e a opção para fechar ou suprimir o problema. Por exemplo:
Questões de saúde
Esta seção descreve todos os problemas de integridade para cada componente, listando a causa e as etapas necessárias para resolver o problema.
Os problemas de saúde específicos do sensor são exibidos na guia Problemas de integridade do sensor e os problemas de saúde relacionados ao domínio ou agregados são exibidos na guia Problemas de saúde globais, conforme detalhado nas tabelas a seguir:
Um controlador de domínio está inacessível por um sensor
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity tem funcionalidade limitada devido a problemas de conectividade com o controlador de domínio configurado. | Isso afeta a capacidade do Defender for Identity de detetar atividades suspeitas relacionadas a controladores de domínio monitorados por esse sensor do Defender for Identity. | Verifique se os controladores de domínio estão ativos e em execução e se este sensor do Defender for Identity pode abrir conexões LDAP com eles. Além disso, em Configurações , certifique-se de configurar uma conta do Serviço de Diretório para cada floresta implantada. | Meio | Guia Problemas de saúde dos sensores |
Todos/Alguns dos adaptadores de rede de captura em um sensor não estão disponíveis
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Todos/Alguns dos adaptadores de rede de captura selecionados no sensor Defender for Identity estão desativados ou desconectados. | O tráfego de rede para alguns/todos os controladores de domínio não é mais capturado pelo sensor Defender for Identity. Esse problema afeta a capacidade de detetar atividades suspeitas, relacionadas a esses controladores de domínio. | Verifique se esses adaptadores de rede de captura selecionados no sensor do Defender for Identity estão habilitados e conectados. | Meio | Guia Problemas de saúde dos sensores |
As credenciais do utilizador dos serviços de diretório estão incorretas
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| As credenciais da conta de usuário dos serviços de diretório estão incorretas. | Esse problema afeta a capacidade dos sensores de detetar atividades usando consultas LDAP em controladores de domínio. | - Para contas AD padrão: verifique se o nome de usuário, a senha e o domínio na página de configuração dos serviços de diretório estão corretos. - Para contas de serviço gerenciado de grupo: verifique se o nome de usuário e o domínio na página de configuração dos Serviços de Diretório estão corretos. Verifique também todos os outros pré-requisitos de conta gMSA descritos na página Recomendações de conta do Serviço de Diretório. |
Meio | Guia Questões de saúde globais |
Baixa taxa de sucesso da resolução de nomes ativos
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Os sensores listados do Defender for Identity não estão conseguindo resolver endereços IP para nomes de dispositivos mais de 90% do tempo usando os seguintes métodos: - NTLM sobre RPC - NetBIOS - DNS reverso |
Isso afeta os recursos de deteção do Defender for Identity e pode aumentar o número de alarmes falsos positivos. | - Para NTLM sobre RPC: Verifique se a porta 135 está aberta para comunicação de entrada dos sensores do Defender for Identity em todos os computadores do ambiente. - Para DNS reverso: Verifique se os sensores podem alcançar o servidor DNS e se as Zonas de Pesquisa Inversa estão ativadas. - Para NetBIOS: Verifique se a porta 137 está aberta para comunicação de entrada dos sensores Defender for Identity em todos os computadores do ambiente. Além disso, certifique-se de que a configuração de rede (como firewalls) não está impedindo a comunicação com as portas relevantes. |
Mínimo | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
Nenhum tráfego recebido do controlador de domínio
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Nenhum tráfego foi recebido do controlador de domínio através deste sensor Defender for Identity. | Esse problema pode indicar que o espelhamento de porta dos controladores de domínio para o sensor do Defender for Identity ainda não está configurado ou não está funcionando. | Verifique se o espelhamento de porta está configurado corretamente em seus dispositivos de rede. Na NIC de captura do sensor Defender for Identity, desative estes recursos em Configurações avançadas: Coalescência de segmento de recebimento (IPv4) Recebimento de coalescência de segmento (IPv6) |
Meio | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
Senha de usuário somente leitura para expirar em breve
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A senha de usuário somente leitura, usada para executar a resolução de entidades no Ative Directory, está prestes a expirar em menos de 30 dias. | Se a senha desse usuário expirar, todos os sensores do Defender for Identity param de funcionar e nenhum novo dado é coletado. | Altere a senha de conectividade de domínio e atualize a senha da conta do Serviço de Diretório. | Meio | Guia Questões de saúde globais |
A senha de usuário somente leitura expirou
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A senha de usuário somente leitura, usada para obter dados de diretório, expirou. | Todos os sensores do Defender for Identity param de funcionar, ou deixarão de funcionar em breve, e nenhum novo dado é coletado. | Altere a senha de conectividade de domínio e atualize a senha da conta do Serviço de Diretório. | Máximo | Guia Questões de saúde globais |
Sensor desatualizado
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Um sensor do Defender for Identity está desatualizado. | Um sensor do Defender for Identity está executando uma versão que não pode se comunicar com a infraestrutura de nuvem do Defender for Identity. | Atualize manualmente o sensor e verifique por que o sensor não está sendo atualizado automaticamente. Se esta opção não funcionar, transfira o pacote de instalação do sensor mais recente e desinstale e reinstale o sensor. Para obter mais informações, consulte Baixar o sensor Microsoft Defender for Identity e Instalar o sensor Microsoft Defender for Identity. | Meio | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
O sensor atingiu um limite de recursos de memória
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity parou e reinicia automaticamente para proteger o controlador de domínio de uma condição de pouca memória. | O sensor do Defender for Identity impõe limitações de memória a si mesmo para evitar que o controlador de domínio enfrente limitações de recursos. Esse problema ocorre quando o uso de memória no controlador de domínio é alto. Os dados deste controlador de domínio são apenas parcialmente monitorizados. | Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. | Meio | Guia Problemas de saúde dos sensores |
Falha ao iniciar o serviço do sensor
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O serviço de sensor do Defender for Identity falhou ao iniciar por pelo menos 30 minutos. | Esse problema pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que são monitorados por este sensor do Defender for Identity. | Monitore os logs do sensor do Defender for Identity para entender a causa raiz da falha do serviço do sensor do Defender for Identity. | Máximo | Guia Problemas de saúde dos sensores |
O sensor deixou de comunicar
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Não houve comunicação do sensor Defender for Identity. O período de tempo padrão para esse alerta é de 5 minutos. | O tráfego de rede não é mais capturado pelo adaptador de rede no sensor Defender for Identity. Isso afeta a capacidade do Defender for Identity de detetar atividades suspeitas, já que o tráfego de rede não consegue acessar o serviço de nuvem do Defender for Identity. | Verifique se a porta usada para a comunicação entre o sensor do Defender for Identity e o serviço de nuvem do Defender for Identity não está bloqueada por nenhum roteador ou firewall. | Meio | Guia Problemas de saúde dos sensores |
Alguns eventos do Windows não estão sendo analisados
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está recebendo mais eventos do que pode processar. | Alguns eventos do Windows não estão sendo analisados. Isso pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por este sensor do Defender for Identity. | Considere adicionar mais processadores e memória , conforme necessário. Se estiver a utilizar um sensor autónomo do Defender for Identity, verifique se apenas os eventos necessários são encaminhados para o sensor. Ou tente encaminhar alguns eventos para outro sensor do Defender for Identity. | Meio | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
Não foi possível analisar algum tráfego de rede
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está recebendo mais tráfego de rede do que pode processar. | Não foi possível analisar algum tráfego de rede. Esse problema pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por esse sensor do Defender for Identity. | Considere adicionar mais processadores e memória , conforme necessário. Se você estiver usando um sensor autônomo do Defender for Identity, reduza o número de controladores de domínio monitorados. Esse problema também pode acontecer se você estiver usando controladores de domínio em máquinas virtuais VMware. Para evitar esses problemas, você pode verificar se as seguintes configurações estão definidas como 0 ou Desabilitado na máquina virtual (no sistema operacional Windows, não nas configurações do VMware): - Descarregamento de envio grande V2 (IPv4) - Descarregamento do TSO IPv4 Os nomes podem variar dependendo da sua versão VMware. Para obter mais informações, consulte a documentação do VMware. |
Meio | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
Alguns eventos ETW não estão a ser analisados
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está recebendo mais eventos de Rastreamento de Eventos para Windows (ETW) do que pode processar. | Alguns eventos de Rastreamento de Eventos para Windows (ETW) não estão sendo analisados. Isso pode afetar a capacidade de detetar atividades suspeitas originadas de controladores de domínio que estão sendo monitorados por este sensor do Defender for Identity. | Considere adicionar mais processadores e memória , conforme necessário. | Meio | Guia Problemas de saúde dos sensores e guia Problemas de saúde globais |
Sensor em execução num sistema operativo que em breve deixará de ser suportado
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está sendo executado em um sistema operacional que em breve deixará de ser suportado. | O Windows Server 2012 e o 2012 R2 chegaram ao fim do suporte em 10 de outubro de 2023. Para mais informações, consultar: https://aka.ms/mdi/oseos | O sistema operacional no servidor deve ser atualizado para o sistema operacional suportado mais recente. Para mais pormenores, consulte: https://aka.ms/mdi/os | Meio | Guia Problemas de saúde dos sensores |
Sensor em execução em um sistema operacional não suportado
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está sendo executado em um sistema operacional não suportado. | O Windows Server 2012 e o 2012 R2 chegaram ao fim do suporte em 10 de outubro de 2023. Para mais informações, consultar: https://aka.ms/mdi/oseos | O sistema operacional no servidor deve ser atualizado para o sistema operacional suportado mais recente. Para mais pormenores, consulte: https://aka.ms/mdi/os | Máximo | Guia Problemas de saúde dos sensores |
O sensor tem problemas com o componente de captura de pacotes
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor Defender for Identity está usando drivers WinPcap em vez de drivers Npcap. | Todos os clientes devem usar drivers Npcap em vez dos drivers WinPcap. A partir do Defender for Identity versão 2.184, o pacote de instalação instala o Npcap 1.0 OEM. | Instale o Npcap de acordo com as orientações descritas em: https://aka.ms/mdi/npcap | Mínimo | Guia Problemas de saúde dos sensores |
| O sensor Defender for Identity está executando uma versão Npcap mais antiga do que a versão mínima necessária. | A versão mínima do Npcap suportada é 1.0. A partir do Defender for Identity versão 2.184, o pacote de instalação instala o Npcap 1.0 OEM. | Atualize o Npcap de acordo com as orientações descritas em: https://aka.ms/mdi/npcap | Meio | Guia Problemas de saúde dos sensores |
| O sensor Defender for Identity está executando um componente Npcap que não está configurado conforme necessário. | A instalação do Npcap está faltando as opções de configuração necessárias. | Instale o Npcap de acordo com as orientações descritas em: https://aka.ms/mdi/npcap | Máximo | Guia Problemas de saúde dos sensores |
A auditoria NTLM não está habilitada
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A Auditoria NTLM não está habilitada. | A Auditoria NTLM (para o evento ID 8004) não está habilitada no servidor. (Esta configuração é validada uma vez por semana, por sensor). | Habilite eventos de auditoria NTLM de acordo com as orientações, conforme descrito na seção ID de Evento 8004, na página Configurar coleta de eventos do Windows. | Meio | Guia Problemas de saúde dos sensores |
A Auditoria Avançada dos Serviços de Diretório não está habilitada conforme necessário
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A Auditoria Avançada dos Serviços de Diretório não está habilitada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A configuração de Auditoria Avançada dos Serviços de Diretório não inclui todas as categorias e subcategorias conforme necessário. | Habilite os eventos de Auditoria Avançada dos Serviços de Diretório. Para obter mais informações, consulte Configurar políticas de auditoria para logs de eventos do Windows. | Meio | Guia Questões de saúde globais |
A Auditoria de Objetos dos Serviços de Diretório não está habilitada conforme necessário
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A Auditoria de Objetos dos Serviços de Diretório não está habilitada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A configuração de Auditoria de Objeto dos Serviços de Diretório não inclui todos os tipos de objeto e permissões conforme necessário. | Habilite os eventos de Auditoria de Objeto dos Serviços de Diretório de acordo com as orientações, conforme descrito na seção Configurar auditoria de objeto de domínio, na página Configurar coleta de Eventos do Windows. | Meio | Guia Questões de saúde globais |
A auditoria no contêiner Configuração não está habilitada conforme necessário
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A auditoria no contêiner Configuração não está habilitada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A Auditoria de Serviços de Diretório no contêiner Configuração do Domínio não está habilitada conforme necessário. | Habilite a Auditoria de Serviços de Diretório no contêiner Configuração do Domínio de acordo com as orientações descritas na seção Configurar Políticas de Auditoria, na página Configurar coleta de Eventos do Windows. | Meio | Guia Questões de saúde globais |
A auditoria no contêiner do ADFS não está habilitada conforme necessário
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| A auditoria no contêiner do ADFS não está habilitada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A Auditoria de Serviços de Diretório no contêiner do ADFS não está habilitada conforme necessário. | Habilite a Auditoria de Serviços de Diretório no contêiner do ADFS de acordo com as orientações descritas na seção Configurar auditoria em um AD FS (Serviços de Federação do Ative Directory), na página Configurar coleta de eventos do Windows. | Meio | Guia Questões de saúde globais |
O modo de energia não está configurado para um desempenho ideal do processador
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O modo de energia não está configurado para um desempenho ideal do processador. (Esta configuração é validada uma vez por dia, por sensor). | O modo de energia do sistema operacional não está configurado para as configurações ideais de desempenho do processador. Esse problema pode afetar o desempenho do servidor e a capacidade dos sensores de detetar atividades suspeitas. | Proceda de uma das seguintes formas: - Configure a opção de energia da máquina que executa o sensor Defender for Identity para Alto Desempenho - Defina o estado mínimo e máximo do processador para 100 Para obter mais informações, consulte a seção Requisitos e recomendações do sensor na página Pré-requisitos do Defender for Identity. |
Mínimo | Guia Problemas de saúde dos sensores |
Falha do sensor ao gravar no caminho de log personalizado
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| O sensor falhou ao gravar no caminho de log personalizado. | O caminho de log personalizado fornecido na configuração do sensor não pode ser criado. | 1. Pare os AATPSensorUpdater e AATPSensor serviços. 2. Altere o no arquivo de configuração do sensor para um caminho válido ou defina-o SensorCustomLogLocation como nulo. 3. Inicie o e AATPSensor serviços AATPSensorUpdater novamente. |
Mínimo | Guia Problemas de saúde dos sensores |
Falhas de ingestão de dados de contabilização de raio (integração VPN)
| Alerta | Description | Resolução | Gravidade | Exibido em |
|---|---|---|---|---|
| Falhas de ingestão de dados de contabilização de raio (integração VPN). | Os sensores Defender for Identity listados têm falhas de ingestão de dados de contabilização de raio (integração VPN). | Valide se o segredo compartilhado nas definições de configuração do Defender for Identity corresponde ao seu servidor VPN, de acordo com a orientação descrita na seção Configurar VPN no Defender for Identity, na página de integração do Defender for Identity VPN. | Mínimo | Página sobre questões de saúde |