適用於身分識別的 Microsoft Defender 健康情況問題
[適用於身分識別的 Microsoft Defender 健康情況問題] 頁面會列出適用於身分識別的 Defender 部署和感測器的任何目前健康情況問題,提醒您在適用於身分識別的 Defender 部署中發生任何問題。
健康情況問題頁面
[適用於身分識別的 Microsoft Defender 健康情況問題] 頁面可藉由引發健康情況問題,讓您知道您的適用於身分識別的 Defender 工作區發生問題。 若要存取頁面,請遵循下列步驟:
在 [Microsoft Defender 全面偵測回應] 的 [身分識別] 底下,選取 [健康情況問題]。
[ 健康情況問題] 頁面隨即出現,您可以在其中看到適用於身分識別環境的一般 Defender 和特定感測器的健康情況問題。
適用於身分識別的 Defender 支援下列健康情況警示類型:
- 與網域相關的或匯總的健康情況問題,列在 [全域健康情況問題] 索引卷標上
- 感測器特定健康情況問題,列在 [感測器健康情況問題] 索引標籤上
依狀態、問題名稱或嚴重性篩選問題,以協助您找出您要尋找的問題。
例如:
選取任何問題以取得更多詳細數據,以及關閉或隱藏問題的選項。 例如:
健康情況問題
本節說明每個元件的所有健康情況問題、列出原因和解決問題所需的步驟。
感測器特定的健康情況問題會顯示在 [感測器健康情況問題] 索引卷標中,而與網域相關的或匯總健康情況問題會顯示在 [全域健康情況問題] 索引卷標中,如下表所述:
感測器無法連線到域控制器
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器的功能有限,因為已設定域控制器的連線問題。 | 這會影響適用於身分識別的 Defender 偵測與此適用於身分識別的 Defender 感測器所監視之域控制器相關的可疑活動的能力。 | 請確定域控制器已啟動並執行,且此適用於身分識別的 Defender 感測器可以開啟其 LDAP 連線。 此外,設定 請務必為每個已部署的樹系設定目錄服務帳戶。 | 中 | 感測器健康情況問題索引標籤 |
感測器上的所有/部分擷取網路適配器無法使用
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器上所有/部分選取的擷取網路適配器都會停用或中斷連線。 | 適用於身分識別的 Defender 感測器不再擷取部分/所有域控制器的網路流量。 此問題會影響偵測與這些域控制器相關的可疑活動的能力。 | 請確定這些選取的擷取網路適配器已啟用並連線到適用於身分識別的Defender感測器上。 | 中 | 感測器健康情況問題索引標籤 |
目錄服務使用者認證不正確
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 目錄服務用戶帳戶的認證不正確。 | 此問題會影響感測器針對域控制器使用LDAP查詢偵測活動的能力。 | - 針對標準 AD 帳戶:確認 [目錄服務組態] 頁面中的使用者名稱、密碼和網域是否正確。 - 針對群組受管理的服務帳戶:確認目錄服務組態頁面中的使用者名稱和網域正確無誤。 另請檢查目錄服務帳戶建議頁面上所述的所有其他 gMSA 帳戶必要條件。 |
中 | 全域健康情況問題索引標籤 |
作用中名稱解析的成功率較低
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 列出的適用於身分識別的 Defender 感測器無法使用下列方法,將 IP 位址解析為裝置名稱超過 90% 的時間: - 透過 RPC 的 NTLM - NetBIOS - 反向 DNS |
這會影響適用於身分識別的 Defender 偵測功能,並可能會增加誤判警示的數目。 | - 針對透過 RPC 的 NTLM:檢查埠 135 是否開啟,以便從環境中所有電腦上的適用於身分識別的 Defender 感測器進行輸入通訊。 - 針對反向 DNS:檢查感測器是否可連線到 DNS 伺服器,並啟用反向對應區域。 - 針對 NetBIOS:檢查埠 137 是否開啟,以便從環境中所有電腦上的適用於身分識別的 Defender 感測器進行輸入通訊。 此外,請確定網路設定(例如防火牆)不會防止與相關埠的通訊。 |
低 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
未從域控制器接收流量
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未透過此適用於身分識別的Defender感測器從域控制器接收流量。 | 此問題可能表示尚未設定從域控制器到適用於身分識別的 Defender 感測器的埠鏡像。 | 確認 已在您的網路裝置上正確設定埠鏡像。 在適用於身分識別的 Defender 感測器擷取 NIC 上,停用進階 設定 中的這些功能: 接收區段聯合 (IPv4) 接收區段聯合 (IPv6) |
中 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
唯讀用戶密碼即將到期
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 用來對 Active Directory 執行實體解析的唯讀使用者密碼,即將在 30 天內到期。 | 如果此使用者的密碼過期,所有適用於身分識別的 Defender 感測器都會停止執行,而且不會收集任何新數據。 | 變更網域連線密碼,然後 更新目錄服務帳戶 密碼。 | 中 | 全域健康情況問題索引標籤 |
唯讀用戶密碼已過期
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 唯讀使用者密碼,用來取得目錄數據已過期。 | 所有適用於身分識別的 Defender 感測器都會停止執行,或即將停止執行,而且不會收集任何新數據。 | 變更網域連線密碼,然後 更新目錄服務帳戶 密碼。 | 高 | 全域健康情況問題索引標籤 |
感應器過期
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器已過期。 | 適用於身分識別的 Defender 感測器正在執行無法與適用於身分識別的 Defender 雲端基礎結構通訊的版本。 | 手動更新感測器,並檢查感測器為何不會自動更新。 如果此選項無法運作,請下載最新的感測器安裝套件,然後卸載並重新安裝感測器。 如需詳細資訊,請參閱下載 適用於身分識別的 Microsoft Defender 感測器和安裝 適用於身分識別的 Microsoft Defender 感測器。 | 中 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
感測器達到記憶體資源限制
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器自行停止並自動重新啟動,以保護域控制器免於記憶體不足的狀況。 | 適用於身分識別的 Defender 感測器會自行強制執行記憶體限制,以防止域控制器遇到資源限制。 當域控制器上的記憶體使用量很高時,就會發生此問題。 此域控制器的數據只會受到部分監視。 | 增加域控制器上的內存量,或在此站台中新增更多域控制器,以更好地分散此域控制器的負載。 | 中 | 感測器健康情況問題索引標籤 |
感測器服務無法啟動
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器服務無法啟動至少 30 分鐘。 | 此問題可能會影響偵測源自此適用於身分識別的Defender感測器所監視之域控制器的可疑活動的能力。 | 監視適用於身分識別的 Defender 感測器記錄,以瞭解適用於身分識別的 Defender 感測器服務失敗的根本原因。 | 高 | 感測器健康情況問題索引標籤 |
感應器已停止通訊
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 沒有來自適用於身分識別的Defender感測器的通訊。 此警示的預設時間範圍為5分鐘。 | 適用於身分識別的 Defender 感測器上的網路適配器不再擷取網路流量。 這會影響適用於身分識別的 Defender 偵測可疑活動的能力,因為網路流量無法連線到適用於身分識別的 Defender 雲端服務。 | 檢查用於適用於身分識別的 Defender 感測器與適用於身分識別的 Defender 雲端服務的通訊埠並未受到任何路由器或防火牆封鎖。 | 中 | 感測器健康情況問題索引標籤 |
未分析某些 Windows 事件
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器接收的事件比處理的事件還要多。 | 未分析某些 Windows 事件。 這可能會影響偵測源自此適用於身分識別的Defender感測器所監視之域控制器的可疑活動的能力。 | 請考慮 視需要新增更多處理器和記憶體 。 如果您使用適用於身分識別的獨立 Defender 感測器,請確認只有必要的事件會轉送至感測器。 或者,嘗試將某些事件轉送至另一個適用於身分識別的 Defender 感測器。 | 中 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
無法分析某些網路流量
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器接收的網路流量比處理更多。 | 無法分析某些網路流量。 此問題可能會影響偵測源自此適用於身分識別的Defender感測器所監視之域控制器的可疑活動的能力。 | 請考慮 視需要新增更多處理器和記憶體 。 如果您使用適用於身分識別的獨立 Defender 感測器,請減少受監視的域控制器數目。 如果您在 VMware 虛擬機上使用域控制器,也可能會發生此問題。 若要避免這些問題,您可以檢查虛擬機中的下列設定是否設定為 0 或 [已 停用] (在 Windows OS 中,而不是 VMware 設定中): - 大型傳送卸除 V2 (IPv4) - IPv4 TSO 卸除 這些名稱可能會根據您的 VMware 版本而有所不同。 如需詳細資訊,請參閱 VMware 文件。 |
中 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
不會分析某些 Windows 事件
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器接收更多 Windows 事件追蹤 (ETW) 事件,而不是可以處理的事件。 | 不會分析某些 Windows 事件追蹤 (ETW) 事件。 這可能會影響偵測源自此適用於身分識別的Defender感測器所監視之域控制器的可疑活動的能力。 | 請考慮 視需要新增更多處理器和記憶體 。 | 中 | 感測器健康情況問題索引標籤和 [全域健康情況問題] 索引標籤 |
在即將不受支援的作業系統上執行的感測器
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器正在即將不受支援的作業系統上執行。 | Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。 如需詳細資訊,請參閱: https://aka.ms/mdi/oseos | 伺服器上的操作系統應該升級至最新的支援操作系統。 如需詳細資訊,請參閱: https://aka.ms/mdi/os | 中 | 感測器健康情況問題索引標籤 |
在不支援的作業系統上執行的感測器
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器正在不支援的作業系統上執行。 | Windows Server 2012 和 2012 R2 已於 2023 年 10 月 10 日終止支援。 如需詳細資訊,請參閱: https://aka.ms/mdi/oseos | 伺服器上的操作系統應該升級至最新的支援操作系統。 如需詳細資訊,請參閱: https://aka.ms/mdi/os | 高 | 感測器健康情況問題索引標籤 |
感測器有封包擷取元件的問題
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 適用於身分識別的 Defender 感測器使用 WinPcap 驅動程式,而不是 Npcap 驅動程式。 | 所有客戶都應該使用 Npcap 驅動程式,而不是 WinPcap 驅動程式。 從適用於身分識別的 Defender 2.184 版開始,安裝套件會安裝 Npcap 1.0 OEM。 | 根據下列指引安裝 Npcap: https://aka.ms/mdi/npcap | 低 | 感測器健康情況問題索引標籤 |
| 適用於身分識別的 Defender 感測器正在執行比最低必要版本還舊的 Npcap 版本。 | 支援的最小 Npcap 版本為 1.0。 從適用於身分識別的 Defender 2.184 版開始,安裝套件會安裝 Npcap 1.0 OEM。 | 根據指引升級 Npcap,如以下所述: https://aka.ms/mdi/npcap | 中 | 感測器健康情況問題索引標籤 |
| 適用於身分識別的 Defender 感測器正在執行未視需要設定的 Npcap 元件。 | Npcap 安裝遺漏必要的組態選項。 | 根據下列指引安裝 Npcap: https://aka.ms/mdi/npcap | 高 | 感測器健康情況問題索引標籤 |
未啟用NTLM稽核
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 未啟用NTLM稽核。 | 伺服器未啟用NTLM稽核 (針對事件標識碼 8004)。 (每個感測器每周會驗證一次此組態)。 | 根據設定 Windows 事件集合頁面中事件標識碼 8004 一節中所述的指引,啟用 NTLM 稽核事件。 | 中 | 感測器健康情況問題索引標籤 |
目錄服務進階稽核未視需要啟用
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 目錄服務進階稽核未視需要啟用。 (此設定會每天驗證一次,每個網域)。 | 目錄服務進階稽核組態不會視需要包含所有類別和子類別。 | 啟用目錄服務進階稽核事件。 如需詳細資訊,請參閱 設定 Windows 事件記錄的審核策略。 | 中 | 全域健康情況問題索引標籤 |
目錄服務物件稽核未視需要啟用
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 目錄服務物件稽核未視需要啟用。 (此設定會每天驗證一次,每個網域)。 | 目錄服務物件稽核組態不會視需要包含所有物件類型和許可權。 | 根據設定網域物件稽核一節中所述的設定網域物件稽核頁面所述,啟用目錄服務物件稽核事件。 | 中 | 全域健康情況問題索引標籤 |
未視需要啟用設定容器的稽核
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 設定容器上的稽核未視需要啟用。 (此設定會每天驗證一次,每個網域)。 | 網域設定容器上的目錄服務稽核未視需要啟用。 | 根據設定稽核原則一節中所述的指引,在網域的設定容器上啟用目錄服務稽核,請參閱設定 Windows 事件集合頁面。 | 中 | 全域健康情況問題索引標籤 |
ADFS 容器上的稽核未視需要啟用
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| ADFS 容器上的稽核未視需要啟用。 (此設定會每天驗證一次,每個網域)。 | ADFS 容器上的目錄服務稽核未視需要啟用。 | 根據在 ADFS 容器上設定稽核的指引,在 ADFS 容器上啟用目錄服務稽核,如設定 Active Directory 同盟服務 (AD FS) 區段中的設定 Windows 事件收集頁面中所述。 | 中 | 全域健康情況問題索引標籤 |
電源模式未設定為最佳處理器效能
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 電源模式未設定為最佳處理器效能。 (每個感測器每天驗證此設定一次)。 | 操作系統的電源模式未設定為最佳處理器效能設定。 此問題可能會影響伺服器的效能,以及感測器偵測可疑活動的能力。 | 執行下列其中一項動作: - 將執行適用於身分識別的 Defender 感測器的電腦電源選項設定為 高效能 - 將最小和最大處理器狀態設定為 100 如需詳細資訊,請參閱適用於身分識別的 Defender 必要條件頁面中的感測器需求和建議一節。 |
低 | 感測器健康情況問題索引標籤 |
感測器無法寫入自定義記錄路徑
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 感測器無法寫入自定義記錄路徑。 | 無法建立感測器組態中提供的自定義記錄路徑。 | 1.停止 AATPSensorUpdater 和服務 AATPSensor 。 2.將感測器組態檔中的 變更 SensorCustomLogLocation 為有效的路徑,或將它設定為 null。 3.再次啟動 AATPSensorUpdater 和服務 AATPSensor 。 |
低 | 感測器健康情況問題索引標籤 |
半徑會計 (VPN 整合) 資料擷取失敗
| Alert | 描述 | 解決方案 | 嚴重性 | 顯示於 |
|---|---|---|---|---|
| 半徑會計(VPN 整合)數據擷取失敗。 | 列出的適用於身分識別的 Defender 感測器有半徑會計(VPN 整合)數據擷取失敗。 | 根據適用於身分識別的 Defender VPN 整合頁面中的設定 VPN 一節中所述的指引,驗證適用於身分識別的 Defender 組態設定中的共享密碼是否符合您的 VPN 伺服器。 | 低 | 健康情況問題頁面 |