Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A página problemas do Microsoft Defender para Identidade Health lista quaisquer problemas de estado de funcionamento atuais para a implementação e sensores do Defender para Identidade, alertando-o para quaisquer problemas na implementação do Defender para Identidade.
Página de problemas de estado de funcionamento
A página problemas do Microsoft Defender para Identidade Health informa-o quando existe um problema com a área de trabalho do Defender para Identidade, ao criar um problema de estado de funcionamento. Para aceder à página, siga estes passos:
Em Microsoft Defender XDR, em Identidades, selecione Problemas de estado de funcionamento.
É apresentada a página Problemas de estado de funcionamento, onde pode ver problemas de estado de funcionamento do ambiente geral do Defender para Identidade e sensores específicos.
O Defender para Identidade suporta os seguintes tipos de alertas de estado de funcionamento:
- Problemas de estado de funcionamento agregado ou relacionados com domínios, listados no separador Problemas de estado de funcionamento global
- Problemas de estado de funcionamento específicos do sensor, listados no separador Problemas de estado de funcionamento do sensor
Filtre os problemas por status, nome do problema ou gravidade para o ajudar a encontrar o problema que procura.
Por exemplo:
Selecione qualquer problema para obter mais detalhes e a opção para fechar ou suprimir o problema. Por exemplo:
Status de problemas de estado de funcionamento
Os problemas de estado de funcionamento no Microsoft Defender para Identidade podem ter estados diferentes consoante o estado e a forma como são processados.
- Abrir: O problema de estado de funcionamento está marcado como aberto.
- Fechado: Um problema de estado de funcionamento é automaticamente marcado como Fechado quando Microsoft Defender para Identidade deteta que o problema subjacente é resolvido. Se tiver a função de Administrador do Azure ATP (nome da área de trabalho), também pode fechar manualmente um problema de estado de funcionamento.
- Suprimido: Se tiver permissões de Administradores do Azure ATP (nome da área de trabalho), pode suprimir o alerta de estado de funcionamento durante sete dias. Suprima um alerta de estado de funcionamento se tiver conhecimento de um problema temporário conhecido esperado, por exemplo, desativar uma máquina virtual para manutenção.
Por exemplo, se um controlador de domínio for offline para manutenção, poderá ser acionado um alerta "O sensor deixou de comunicar". Pode utilizar a API para alterar o status de alerta de Aberto para Suprimido. Assim que o controlador de domínio estiver novamente online, reverter o status para Abrir e deixe Microsoft Defender para Identidade fechar o alerta automaticamente quando o problema for resolvido.
Problemas de estado de funcionamento
Esta secção descreve todos os problemas de estado de funcionamento de cada componente, listando a causa e os passos necessários para resolve o problema.
Os problemas de estado de funcionamento específicos do sensor são apresentados no separador Problemas de estado de funcionamento do sensor e os problemas de estado de funcionamento agregados ou relacionados com o domínio são apresentados no separador Problemas de estado de funcionamento global, conforme detalhado nas seguintes tabelas:
| Alerta | Descrição | Resolução | Severity | Apresentado em | Suportado pela versão do Sensor |
|---|---|---|---|---|---|
| Erro de correspondência de configuração de rede para sensores em execução no VMware | As máquinas virtuais nas quais os sensores do Defender para Identidade listados estão instalados têm um erro de correspondência de configuração de rede. Este problema pode afetar o desempenho e a fiabilidade dos sensores. | Reveja as definições da interface de rede, incluindo desativar a Descarga de Envio Grande (LSO) e siga as instruções aqui. | Alto | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| Um controlador de domínio está inacessível por um sensor | O sensor do Defender para Identidade tem funcionalidades limitadas devido a problemas de conectividade ao controlador de domínio configurado. Isto afeta a capacidade do Defender para Identidade de detetar atividades suspeitas relacionadas com controladores de domínio monitorizados por este sensor do Defender para Identidade. | Certifique-se de que os controladores de domínio estão em execução e que este sensor do Defender para Identidade pode abrir ligações LDAP aos mesmos. Além disso, em Definições , certifique-se de que configura uma conta de Serviço de Diretório para cada floresta implementada. | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| Todos/Alguns dos adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão desativados ou desligados | O tráfego de rede para alguns/todos os controladores de domínio já não é capturado pelo sensor do Defender para Identidade. Este problema afeta a capacidade de detetar atividades suspeitas relacionadas com esses controladores de domínio. | Certifique-se de que estes adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão ativados e ligados. | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| As credenciais de utilizador dos serviços de diretório estão incorretas | As credenciais da conta de utilizador dos serviços de diretório estão incorretas. Este problema afeta a capacidade dos sensores de detetar atividades através de consultas LDAP em controladores de domínio. | - Para contas padrão do AD: verifique se o nome de utilizador, a palavra-passe e o domínio na página de configuração dos Serviços de diretório estão corretos. - Para contas de serviço geridas de grupo: verifique se o nome de utilizador e o domínio na página de configuração dos Serviços de Diretório estão corretos. Além disso, marcar todos os outros pré-requisitos da conta gMSA descritos na página Recomendações da conta do Serviço de Diretório. |
Médio | Separador Problemas de estado de funcionamento global | 2.x |
| Baixa taxa de êxito da resolução de nomes ativos | Os sensores do Defender para Identidade listados não estão a resolve endereços IP para nomes de dispositivos mais de 90% do tempo através dos seguintes métodos: - NTLM através de RPC - NetBIOS - DNS inverso. Este problema afeta as capacidades de deteção do Defender para Identidade e pode aumentar o número de alarmes falsos positivos. |
- NTLM através de RPC: verifique se a porta 135 está aberta para comunicação de entrada a partir dos sensores do Defender para Identidade em todos os computadores no ambiente. - DNS inverso: verifique se os sensores conseguem aceder ao servidor DNS e se as Zonas de Pesquisa Inversa estão ativadas. - NetBIOS: verifique se a porta 137 está aberta para comunicação de entrada a partir dos sensores do Defender para Identidade em todos os computadores no ambiente. Além disso, certifique-se de que a configuração de rede (como firewalls) não está a impedir a comunicação com as portas relevantes. |
Baixo | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | 2.x |
| Nenhum tráfego recebido do controlador de domínio | Não foi recebido tráfego do controlador de domínio através deste sensor do Defender para Identidade. Este problema pode indicar que o espelhamento de porta dos controladores de domínio para o sensor do Defender para Identidade ainda não está configurado ou não está a funcionar. | Verifique se o espelhamento de porta está configurado corretamente nos seus dispositivos de rede. Na NIC de captura do sensor do Defender para Identidade, desative estas funcionalidades em Definições Avançadas: Agrupamento de Segmentos de Receção (IPv4) Agrupamento de Segmentos de Receção (IPv6) |
Médio | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | 2.x |
| Palavra-passe de utilizador só de leitura para expirar em breve | A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias. Se a palavra-passe deste utilizador expirar, todos os sensores do Defender para Identidade deixarão de ser executados e não são recolhidos novos dados. | Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe da conta do Serviço de Diretório . | Médio | Separador Problemas de estado de funcionamento global | 2.x |
| Palavra-passe de utilizador só de leitura expirada | A palavra-passe de utilizador só de leitura, utilizada para obter dados de diretório, expirou. Todos os sensores do Defender para Identidade param de ser executados ou deixarão de ser executados em breve e não são recolhidos novos dados. | Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe da conta do Serviço de Diretório . | Alto | Separador Problemas de estado de funcionamento global | 2.x |
| Sensor desatualizado | Um sensor do Defender para Identidade está a executar uma versão que não consegue comunicar com a infraestrutura de cloud do Defender para Identidade. | Atualize manualmente o sensor e marcar para ver por que motivo o sensor não está a atualizar automaticamente. Se esta opção não funcionar, transfira o pacote de instalação do sensor mais recente e desinstale e reinstale o sensor. Para obter mais informações, consulte Transferir o sensor de Microsoft Defender para Identidade e Instalar o sensor Microsoft Defender para Identidade. | Médio | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | Todos |
| O sensor atingiu um limite de recursos de memória | O sensor do Defender para Identidade parou e reinicia automaticamente para proteger o controlador de domínio de uma condição de memória baixa. O sensor do Defender para Identidade impõe limitações de memória a si próprio para impedir que o controlador de domínio tenha limitações de recursos. Este problema ocorre quando a utilização da memória no controlador de domínio é elevada. Os dados deste controlador de domínio são apenas parcialmente monitorizados. | Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| Falha ao iniciar o serviço de sensor | O serviço de sensor do Defender para Identidade não foi iniciado durante, pelo menos, 30 minutos. Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio monitorizados por este sensor do Defender para Identidade. | Monitorize os registos do sensor do Defender para Identidade para compreender a causa da falha do serviço de sensor do Defender para Identidade. | Alto | Separador Problemas de estado de funcionamento dos sensores | Todos |
| O sensor deixou de comunicar | Não houve comunicação do sensor do Defender para Identidade. O intervalo de tempo predefinido para este alerta é de 5 minutos. Este problema indica que o sensor não conseguiu enviar dados ou um sinal keep-alive para os serviços do Defender para Identidade durante um período que excedeu o tempo permitido. Normalmente, este problema sugere um problema de rede no ambiente que impedia a transmissão de dados ou um reinício do servidor que demorou mais do que o período de tempo aceitável, afetando a capacidade do Defender para Identidade de detetar atividades suspeitas. | Verifique se a comunicação entre o sensor do Defender para Identidade e o serviço cloud do Defender para Identidade não está bloqueada por routers ou firewalls. | Médio | Separador Problemas de estado de funcionamento dos sensores | Todos |
| Alguns eventos do Windows não estão a ser analisados | O sensor do Defender para Identidade está a receber mais eventos do que pode processar, o que faz com que alguns eventos do Windows não estejam a ser analisados. Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. Se estiver a utilizar um sensor autónomo do Defender para Identidade, verifique se apenas os eventos necessários são reencaminhados para o sensor. Em alternativa, experimente reencaminhar alguns eventos para outro sensor do Defender para Identidade. | Médio | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | 2.x |
| Não foi possível analisar algum tráfego de rede | O sensor do Defender para Identidade está a receber mais tráfego de rede do que pode processar, o que faz com que não seja possível analisar algum tráfego de rede. Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. Se estiver a utilizar um sensor autónomo do Defender para Identidade, reduza o número de controladores de domínio que estão a ser monitorizados. Este problema também pode ocorrer se estiver a utilizar controladores de domínio em máquinas virtuais VMware. Para evitar estes problemas, pode marcar que as seguintes definições estão definidas como 0 ou Desativadas na máquina virtual (no SO Windows, não nas definições do VMware): - Descarga de Envio Grande V2 (IPv4) - Descarga de TSO IPv4 Os nomes podem variar consoante a sua versão do VMware. Para obter mais informações, veja a documentação do VMware. |
Médio | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | 2.x |
| Alguns eventos etw não estão a ser analisados | O sensor do Defender para Identidade está a receber mais eventos de Rastreio de Eventos para Windows (ETW) do que pode processar, o que faz com que alguns eventos de Rastreio de Eventos para Windows (ETW) não estejam a ser analisados. Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. | Médio | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global | 2.x |
| Sensor em execução num sistema operativo que em breve deixará de ser suportado | O sensor do Defender para Identidade está em execução num sistema operativo que em breve deixará de ser suportado. Windows Server 2012 e 2012 R2 atingiram o fim do suporte a 10 de outubro de 2023. Pode encontrar mais detalhes em: https://aka.ms/mdi/oseos | O sistema operativo no servidor deve ser atualizado para o sistema operativo suportado mais recente. Para obter mais informações, consulte: https://aka.ms/mdi/os | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| Sensor em execução num sistema operativo não suportado | O sensor do Defender para Identidade está em execução num sistema operativo não suportado. Windows Server 2012 e 2012 R2 atingiram o fim do suporte a 10 de outubro de 2023. Pode encontrar mais detalhes em: https://aka.ms/mdi/oseos | O sistema operativo no servidor deve ser atualizado para o sistema operativo suportado mais recente. Para obter mais informações, consulte: https://aka.ms/mdi/os | Alto | Separador Problemas de estado de funcionamento dos sensores | Todos |
| O sensor tem problemas com o componente de captura de pacotes | O sensor do Defender para Identidade está a utilizar controladores WinPcap em vez de controladores Npcap. Todos os clientes devem utilizar controladores Npcap em vez dos controladores WinPcap. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o OEM Npcap 1.0. | Instale o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | Alto | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| O sensor tem problemas com o componente de captura de pacotes | O sensor do Defender para Identidade está a executar uma versão Npcap anterior à versão mínima necessária. A versão mínima do Npcap suportada é 1.0. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o OEM Npcap 1.0. | Atualize o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| O sensor tem problemas com o componente de captura de pacotes | O sensor do Defender para Identidade está a executar um componente Npcap que não está configurado conforme necessário. A instalação do Npcap não tem as opções de configuração necessárias. | Instale o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | Alto | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| A Auditoria NTLM não está ativada | A Auditoria NTLM (para o ID de evento 8004) não está ativada no servidor. (Esta configuração é validada uma vez por dia, por sensor.) | Ative eventos de Auditoria NTLM de acordo com a documentação de orientação descrita na secção ID do Evento 8004 , na página Configurar coleção de Eventos do Windows . | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| A Auditoria Avançada dos Serviços de Diretório não está ativada conforme necessário | A configuração de Auditoria Avançada dos Serviços de Diretório não inclui todas as categorias e subcategorias conforme necessário. (Esta configuração é validada uma vez por dia, por sensor.) | Ative os eventos de Auditoria Avançada dos Serviços de Diretório. Para obter mais informações, veja Configurar políticas de auditoria para registos de eventos do Windows. | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| A Auditoria de Objetos dos Serviços de Diretório não está ativada conforme necessário | A configuração de Auditoria de Objetos dos Serviços de Diretório não inclui todos os tipos de objetos e permissões conforme necessário. (Esta configuração é validada uma vez por dia, por domínio.) | Ative os eventos de Auditoria de Objetos dos Serviços de Diretório de acordo com a documentação de orientação descrita na secção Configurar auditoria de objetos de domínio , na página Configurar recolha de Eventos do Windows . | Médio | Separador Problemas de estado de funcionamento global | 2.x |
| A auditoria no contentor de Configuração não está ativada conforme necessário | A Auditoria dos Serviços de Diretório no contentor de Configuração do Domínio não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio.) | Ative a Auditoria dos Serviços de Diretório no contentor de Configuração do Domínio de acordo com a documentação de orientação, conforme descrito na secção Configurar Políticas de Auditoria , na página Configurar recolha de Eventos do Windows . | Médio | Separador Problemas de estado de funcionamento global | 2.x |
| A auditoria no contentor do ADFS não está ativada conforme necessário | A Auditoria dos Serviços de Diretório no contentor do ADFS não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio.) | Ative a Auditoria dos Serviços de Diretório no contentor do ADFS de acordo com a documentação de orientação descrita na secção Configurar a auditoria num Serviços de Federação do Active Directory (AD FS) (AD FS), na página Configurar recolha de Eventos do Windows. | Médio | Separador Problemas de estado de funcionamento global | 2.x |
| O modo de energia não está configurado para um desempenho ideal do processador | O modo de energia do sistema operativo não está configurado para as definições de desempenho do processador ideais. (Esta configuração é validada uma vez por dia, por sensor.) Este problema pode afetar o desempenho do servidor e a capacidade dos sensores de detetar atividades suspeitas. | Siga um destes procedimentos: - Configurar a opção de energia do computador que executa o sensor do Defender para Identidade para Elevado Desempenho - Defina o estado do processador mínimo e máximo como 100 Para obter mais informações, veja a secção Requisitos e recomendações do sensor na página de pré-requisitos do Defender para Identidade . |
Baixo | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| O sensor não conseguiu escrever no caminho de registo personalizado | Não é possível criar o caminho de registo personalizado fornecido na configuração do sensor. | 1. Pare os AATPSensorUpdater serviços e AATPSensor . 2. Altere o SensorCustomLogLocation no ficheiro de configuração do sensor para um caminho válido ou defina-o como nulo. 3. Inicie os AATPSensorUpdater serviços e AATPSensor novamente. |
Baixo | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| Falhas na ingestão de dados da contabilidade radius (integração de VPN) | Os sensores do Defender para Identidade listados têm falhas de ingestão de dados de contabilidade radius (integração de VPN). | Confirme que o segredo partilhado nas definições de configuração do Defender para Identidade corresponde ao servidor VPN, de acordo com a documentação de orientação descrita na secção Configurar VPN no Defender para Identidade , na página de integração da VPN do Defender para Identidade . | Baixo | Página de problemas de estado de funcionamento | 2.x |
| A auditoria para servidores do AD CS não está ativada conforme necessário | A Configuração da Política de Auditoria Avançada ou a auditoria do AD CS não estão ativadas conforme necessário (esta configuração é validada uma vez por dia, por sensor). | Ative a Configuração da Política de Auditoria Avançada e a auditoria do AD CS de acordo com a documentação de orientação, conforme descrito na secção Configurar auditoria no AD CS , na página Configurar recolha de Eventos do Windows . | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |
| O sensor não conseguiu obter a configuração do serviço Microsoft Entra Connect | O sensor não consegue obter a configuração do serviço Microsoft Entra Connect (também conhecido como sincronização Microsoft Azure AD). | Certifique-se de que o serviço Microsoft Entra connect (Microsoft Azure AD Sync) está em execução e siga as instruções em Configurar permissões para a base de dados do Microsoft Entra Connect (ADSync) para conceder ao sensor as permissões necessárias. Se o problema persistir, siga a documentação de orientação de resolução de problemas em Problemas de conectividade do SQL com o Microsoft Entra Connect. | Médio | Separador Problemas de estado de funcionamento dos sensores | 2.x |