Microsoft Defender for Identity 运行状况问题
Microsoft Defender for Identity 运行状况问题页面列出了 Defender for Identity 部署和传感器的任何当前运行状况问题,提醒你在 Defender for Identity 部署中出现任何问题。
运行状况问题页面
通过在 Microsoft Defender for Identity 运行状况问题页面提出的运行状况问题,你便可了解到 Defender for Identity 工作区何时出现的问题。 请按以下步骤访问该页面:
在 Microsoft Defender XDR 的“标识”下,选择“运行状况问题”。
此时会显示“运行状况问题”页,可在其中查看一般 Defender for Identity 环境和特定传感器的运行状况问题。
Defender for Identity 支持以下类型的运行状况警报:
- 与域相关的或聚合的运行状况问题在“全局运行状况问题”选项卡上列出
- 传感器特定的运行状况问题在“传感器运行状况问题”选项卡上列出
按状态、问题名称或严重性筛选问题,以帮助找到要查找的问题。
例如:
选择任何问题可查看更多详细信息,并选择关闭或禁止该问题的选项。 例如:
运行状况问题
该部分介绍了每个组件的所有运行状况问题,列出了原因和解决问题所需的步骤。
“传感器运行状况问题”选项卡中显示的是专门针对传感器的运行状况问题,而“全局运行状况问题”选项卡中显示的是与域相关的或汇总的运行状况问题,如下表所示:
传感器无法访问所有域控制器
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 由于与已配置域控制器的连接问题,Defender for Identity 传感器的功能有限。 | 这会影响 Defender for Identity 检测与此 Defender for Identity 传感器监视的域控制器相关的可疑活动。 | 请确保域控制器正常运行,且此 Defender for Identity 传感器可以打开指向它们的 LDAP 连接。 此外,在设置中确保为每个已部署的林配置目录服务帐户。 | 中 | “传感器运行状况问题”选项卡 |
传感器上的全部/部分捕获网络适配器不可用
| 警报 | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器上选定的全部/部分捕获网络适配器已禁用或断开连接。 | Defender for Identity 传感器不再捕获部分/全部域控制器的网络流量。 此问题会影响检测与这些域控制器相关的可疑活动的能力。 | 请确保 Defender for Identity 上的这些选定的捕获网络适配器已启用且已连接。 | 中 | “传感器运行状况问题”选项卡 |
目录服务用户凭据不正确
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 目录服务用户帐户的凭据不正确。 | 此问题会影响传感器使用针对域控制器的 LDAP 查询检测活动的能力。 | — 对于标准 AD 帐户:验证“目录服务”配置页中的用户名、密码和域是否正确。 — 对于组托管服务帐户:验证“目录服务”配置页中的用户名、密码和域是否正确。 此外,检查目录服务帐户建议页中描述的所有其他 gMSA 帐户先决条件。 |
中 | “全局运行状况问题”选项卡 |
活动名称解析成功率低
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 列出的 Defender for Identity 传感器在超过 90% 的情况下未能使用以下方法将 IP 地址解析为设备名称: - NTLM over RPC - NetBIOS - 反向 DNS |
这会影响 Defender for Identity 的检测功能,并可能会增加误报警报的数量。 | - 对于NTLM over RPC:检查端口 135 是否打开,以便通过环境中所有计算机上的 Defender for Identity 传感器进行入站通信。 - 对于反向 DNS:检查传感器是否可以到达 DNS 服务器并启用“反向查找区域”。 - 对于 NetBIOS:检查端口 137 是否打开,以便通过环境中所有计算机上的 Defender for Identity 传感器进行入站通信。 此外,请确保网络配置(如防火墙)不会阻止与相关端口的通信。 |
低 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
没有从域控制器接收到流量
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 没有通过此 Defender for Identity 传感器从域控制器接收流量。 | 这个问题可能表明,尚未配置从域控制器到 Defender for Identity 传感器的端口镜像,或者端口镜像没有工作。 | 验证网络设备是否正确配置了端口镜像。 在 Defender for Identity 传感器捕获 NIC 上,在“高级设置”中禁用这些功能: 接收段合并 (IPv4) 接收段合并 (IPv6) |
中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
即将过期的只读用户密码
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 用于针对 Active Directory 执行实体解析的只读用户密码将在不到 30 天内过期。 | 如果此用户的密码过期,则所有 Defender for Identity 传感器都将停止运行,且不会收集任何新数据。 | 更改域连接密码,然后更新目录服务帐户密码。 | 中 | “全局运行状况问题”选项卡 |
只读用户密码已过期
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 用于获取目录数据的只读用户密码已过期。 | 所有 Defender for Identity 传感器都停止运行,或者即将停止运行,不再收集任何新数据。 | 更改域连接密码,然后更新目录服务帐户密码。 | 高 | “全局运行状况问题”选项卡 |
传感器已过时
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器已过时。 | Defender for Identity 传感器正在运行的版本无法与 Defender for Identity 云基础结构通信。 | 手动更新传感器,并检查传感器未自动更新的原因。 如果此选项不起作用,请下载最新的传感器安装包,并卸载和重新安装传感器。 有关详细信息,请参阅下载 Microsoft Defender for Identity 传感器和安装 Microsoft Defender for Identity 传感器。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
传感器已达到内存资源限制
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器自行停止并自动重启,以保护域控制器免受内存不足的影响。 | Defender for Identity 传感器对自身内存进行限制,以防止域控制器遇到资源限制问题。 当域控制器上的内存使用率较高时,就会出现这种问题。 此域控制器中仅有部分数据受到监视。 | 请增加域控制器上的内存 (RAM) 量或在此站点中添加更多域控制器,以便更好地分配此域控制器的负载。 | 中 | “传感器运行状况问题”选项卡 |
传感器服务未能启动
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器服务至少在 30 分钟内未能启动。 | 此问题可能会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 监视 Defender for Identity 传感器日志,了解 Defender for Identity 传感器服务失败的根本原因。 | 高 | “传感器运行状况问题”选项卡 |
传感器停止通信
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器没有通信。 此警报的默认时间跨度为 5 分钟。 | Defender for Identity 传感器上的网络适配器不再捕获网络流量。 这会影响 Defender for Identity 检测可疑活动的能力,因为网络流量无法到达 Defender for Identity 云服务。 | 检查用于 Defender for Identity 传感器与 Defender for Identity 云服务之间的通信端口是否不受任何路由器或防火墙阻止。 | 中 | “传感器运行状况问题”选项卡 |
某些 Windows 事件未被分析
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的事件数量超出其处理能力。 | 某些 Windows 事件未被分析。 这可能会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要添加更多处理器和内存。 如果使用的是独立的 Defender for Identity 传感器,请验证是否仅将所需的事件转发到传感器。 或者,尝试将某些事件转发到另一个 Defender for Identity 传感器。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
一些网络流量无法得到分析
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的网络流量数超出其处理能力。 | 一些网络流量无法得到分析。 此问题会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要添加更多处理器和内存。 如果使用的是独立的 Defender for Identity 传感器,请减少受监视的域控制器数量。 如果在 VMware 虚拟机上使用域控制器,也可能会发生这种问题。 若要避免这些问题,可以检查虚拟机中的以下设置是否设置 0 或已禁用(在 Windows 操作系统中,不在 VMware 设置中): - Large Send Offload V2 (IPv4) - IPv4 TSO Offload 名称可能因 VMware 版本而异。 有关详细信息,请参阅 VMware 文档。 |
中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
一些 ETW 事件没有被分析
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的 Windows 事件跟踪 (ETW) 事件数量超出其处理能力。 | 某些 Windows 事件跟踪 (ETW) 事件未得到分析。 这可能会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要添加更多处理器和内存。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
在即将不受支持的操作系统上运行的传感器
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器在即将不受支持的操作系统上运行。 | 对 Windows Server 2012 和 Windows Server 2012 R2 的支持已于 2023 年 10 月 10 日终止。 有关详细信息,请参阅:https://aka.ms/mdi/oseos | 服务器上的操作系统应升级到受支持的最新操作系统。 有关详细信息,请参阅:https://aka.ms/mdi/os | 中 | “传感器运行状况问题”选项卡 |
在不支持的操作系统上运行的传感器
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器在不支持的操作系统上运行。 | 对 Windows Server 2012 和 Windows Server 2012 R2 的支持已于 2023 年 10 月 10 日终止。 https://aka.ms/mdi/oseos 提供了更多详细信息 | 服务器上的操作系统应升级到受支持的最新操作系统。 有关详细信息,请参阅:https://aka.ms/mdi/os | 高 | “传感器运行状况问题”选项卡 |
传感器的数据包捕获组件存在问题
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Defender for Identity 传感器使用的是 WinPcap 驱动程序,而非 Npcap 驱动程序。 | 所有客户都应使用 Npcap 驱动程序,而非 WinPcap 驱动程序。 从 Defender for Identity 2.184 版开始,安装包安装的是 Npcap 1.0 OEM。 | 根据以下指南安装 Npcap:https://aka.ms/mdi/npcap | 高 | “传感器运行状况问题”选项卡 |
| Defender for Identity 传感器运行的 Npcap 版本低于所需的最低版本。 | 支持的最低版本为 1.0。 从 Defender for Identity 2.184 版开始,安装包安装的是 Npcap 1.0 OEM。 | 根据以下指南升级 Npcap:https://aka.ms/mdi/npcap | 中 | “传感器运行状况问题”选项卡 |
| 未根据需要配置 Defender for Identity 传感器运行的 Npcap 组件。 | Npcap 安装缺少所需的配置选项。 | 根据以下指南安装 Npcap:https://aka.ms/mdi/npcap | 高 | “传感器运行状况问题”选项卡 |
未启用 NTLM 审核
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 未启用 NTLM 审核。 | 服务器上未启用 NTLM 审核(对于事件 ID 8004)。 (此配置每天对每个传感器验证一次)。 | 根据“配置 Windows 事件收集”页中“事件 ID 8004”部分中所述的指南,启用 NTLM 审核事件。 | 中 | “传感器运行状况问题”选项卡 |
未根据需要启用“目录服务高级审核”
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 未根据需要启用“目录服务高级审核”。 (此配置每天对每个传感器验证一次)。 | 目录服务高级审核配置不包括所需的所有类别和子类别。 | 启用目录服务高级审核事件。 有关详细信息,请参阅配置 Windows 事件日志的审核策略。 | 中 | “传感器运行状况问题”选项卡 |
未根据需要启用“目录服务对象审核”
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 未根据需要启用“目录服务对象审核”。 (此配置每天对每个域验证一次)。 | 目录服务对象审核配置不包括所需的所有对象类型和权限。 | 根据“配置 Windows 事件收集”页中“配置域对象审核”部分所述的指南,启用目录服务对象审核事件。 | 中 | “全局运行状况问题”选项卡 |
未根据需要启用“在配置容器上进行审核”
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 未根据需要启用“在配置容器上进行审核”。 (此配置每天对每个域验证一次)。 | 未根据需要启用“在域的配置容器上进行目录服务审核”。 | 根据“配置 Windows 事件收集”页中“配置审核策略”部分所述的指南,启用“在域的配置容器上进行目录服务审核”。 | 中 | “全局运行状况问题”选项卡 |
未根据需要启用“在 ADFS 容器上进行审核”
电源模式未配置为实现最佳处理器性能
传感器未能写入自定义日志路径
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 传感器未能写入自定义日志路径。 | 无法创建传感器配置中提供的自定义日志路径。 | 1. 停止 AATPSensorUpdater 和 AATPSensor 服务。 2. 将传感器配置文件中的 SensorCustomLogLocation 更改为有效路径,或将其设置为 null。 3. 再次启动 AATPSensorUpdater 和 AATPSensor 服务。 |
低 | “传感器运行状况问题”选项卡 |
Radius 计费(VPN 集成)数据引入故障
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| Radius 计费(VPN 集成)数据引入故障。 | 列出的 Defender for Identity 传感器存在 Radius 计费(VPN 集成)数据引入故障。 | 根据“Defender for Identity VPN 集成”页中“在 Defender for Identity 中配置 VPN”部分所述的指南,验证 Defender for Identity 配置设置中的共享机密是否与 VPN 服务器匹配。 | 低 | 运行状况问题页面 |
传感器无法检索Microsoft Entra Connect 服务配置
| Alert | 说明 | 解决方法 | 严重性 | 显示位置 |
|---|---|---|---|---|
| 未能检索 Microsoft Entra Connect 服务配置 | 传感器无法从 Microsoft Entra Connect 服务(也称为Microsoft Azure AD 同步)检索配置。 | 确保 Microsoft Entra connect 服务(Microsoft Azure AD Sync)正在运行,并按照配置 Microsoft Entra Connect (ADSync) 数据库的权限中的说明授予传感器所需的权限。 如果问题仍然存在,请按照 SQL 连接问题的故障排除指南 操作,Microsoft Entra Connect。 | 中 | “传感器运行状况问题”选项卡 |