Problémy se stavem Microsoft Defenderu pro identity
Na stránce Problémy se službou Microsoft Defender for Identity Health jsou uvedeny všechny aktuální problémy se stavem nasazení a senzorů Defenderu pro identity a upozorní vás na případné problémy v nasazení Defenderu pro identitu.
Stránka Problémy se stavem
Stránka s problémy se službou Microsoft Defender for Identity Health vás informuje o problému s pracovním prostorem Defenderu for Identity tím, že vyvolá problém se stavem. Chcete-li získat přístup ke stránce, postupujte takto:
V XDR v programu Microsoft Defender v části Identity vyberte Problémy se stavem.
Zobrazí se stránka Problémy se stavem, kde se zobrazují problémy se stavem pro obecné prostředí Defenderu pro identity i konkrétní senzory.
Defender for Identity podporuje následující typy upozornění na stav:
- Problémy související s doménou nebo agregovaným stavem uvedené na kartě Globální problémy se stavem
- Problémy se stavem specifické pro senzory uvedené na kartě Problémy se stavem senzoru
Vyfiltrujte problémy podle stavu, názvu problému nebo závažnosti, abyste mohli najít problém, který hledáte.
Příklad:
Pokud chcete získat další podrobnosti, vyberte libovolný problém a možnost problém zavřít nebo potlačit. Příklad:
Problémy se stavem
Tato část popisuje všechny problémy se stavem jednotlivých komponent a uvádí příčinu a kroky potřebné k vyřešení problému.
Problémy se stavem specifické pro senzory se zobrazují na kartě Problémy se stavem senzoru a na kartě Globální problémy se stavem se zobrazují problémy související s doménou nebo agregovaným stavem, jak je podrobně popsáno v následujících tabulkách:
Řadič domény je nedostupný senzorem.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu má omezené funkce kvůli problémům s připojením ke nakonfigurovanýmu řadiči domény. | To má vliv na schopnost Defenderu for Identity detekovat podezřelé aktivity související s řadiči domény monitorovanými tímto senzorem defenderu pro identitu. | Ujistěte se, že jsou řadiče domény spuštěné a že tento senzor defenderu pro identitu může otevřít připojení LDAP k nim. Kromě toho v Nastavení nezapomeňte nakonfigurovat účet adresářové služby pro každou nasazenou doménovou strukturu. | střední | Karta Problémy se stavem senzorů |
Všechny/Některé síťové adaptéry pro zachytávání na senzoru nejsou k dispozici.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Všechny/Některé z vybraných síťových adaptérů pro zachytávání v senzoru Defender for Identity jsou zakázané nebo odpojené. | Síťový provoz některých/všech řadičů domény už nechytá senzor Defenderu pro identitu. Tento problém ovlivňuje schopnost detekovat podezřelé aktivity související s těmito řadiči domény. | Ujistěte se, že jsou tyto vybrané síťové adaptéry pro zachytávání v defenderu pro identity povolené a připojené. | střední | Karta Problémy se stavem senzorů |
Přihlašovací údaje uživatele adresářových služeb nejsou správné
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Přihlašovací údaje uživatelského účtu adresářových služeb jsou nesprávné. | Tento problém ovlivňuje schopnost senzorů zjišťovat aktivity pomocí dotazů LDAP na řadiče domény. | – Pro standardní účty AD: Ověřte správnost uživatelského jména, hesla a domény na stránce konfigurace adresářových služeb . – U skupinových účtů spravované služby: Ověřte správnost uživatelského jména a domény na stránce konfigurace adresářových služeb . Zkontrolujte také všechny ostatní požadavky na účet gMSA popsané na stránce s doporučeními k účtu adresářové služby. |
střední | Karta Globální problémy se stavem |
Nízká míra úspěšnosti aktivního překladu ip adres
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Uvedené senzory Defenderu for Identity se nedaří překládat IP adresy na názvy zařízení více než 90 % času pomocí následujících metod: – NTLM přes RPC -Netbios – Reverzní DNS |
To ovlivňuje možnosti detekce Defenderu for Identity a může zvýšit počet falešně pozitivních alarmů. | – Pro protokol NTLM přes RPC: Zkontrolujte, jestli je port 135 otevřený pro příchozí komunikaci ze senzorů Defenderu for Identity na všech počítačích v prostředí. – Reverzní DNS: Zkontrolujte, jestli se senzory mohou spojit se serverem DNS a zda jsou povoleny zóny zpětného vyhledávání. – Pro rozhraní NetBIOS: Zkontrolujte, jestli je port 137 otevřený pro příchozí komunikaci ze senzorů Defenderu for Identity na všech počítačích v prostředí. Kromě toho se ujistěte, že konfigurace sítě (například brány firewall) nebrání komunikaci s příslušnými porty. |
Nejnižší | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Žádný provoz přijatý z řadiče domény
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Z řadiče domény nebyl přijat žádný provoz prostřednictvím tohoto senzoru defenderu pro identitu. | Tento problém může znamenat, že zrcadlení portů z řadičů domény do senzoru Defenderu pro identitu ještě není nakonfigurované nebo nefunguje. | Ověřte, že je zrcadlení portů správně nakonfigurované na síťových zařízeních. Na síťové kartě zachytávání senzoru identity v Defenderu for Identity zakažte tyto funkce v rozšířeném Nastavení: Součin příjmu (IPv4) Součin příjmu (IPv6) |
střední | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Platnost hesla uživatele jen pro čtení brzy vyprší
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Uživatelské heslo jen pro čtení, které se používá k řešení entit vůči službě Active Directory, brzy vyprší za méně než 30 dnů. | Pokud vyprší platnost hesla pro tohoto uživatele, přestanou být spuštěné všechny senzory Defenderu for Identity a neshromažďují se žádná nová data. | Změňte heslo připojení k doméně a aktualizujte heslo účtu adresářové služby. | střední | Karta Globální problémy se stavem |
Platnost hesla uživatele jen pro čtení vypršela
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Platnost hesla uživatele jen pro čtení, která slouží k získání dat adresáře, vypršela. | Všechny senzory Defenderu for Identity přestanou běžet nebo přestanou brzy běžet a neshromažďují se žádná nová data. | Změňte heslo připojení k doméně a aktualizujte heslo účtu adresářové služby. | Nejvyšší | Karta Globální problémy se stavem |
Zastaralý senzor
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu je zastaralý. | Senzor služby Defender for Identity používá verzi, která nemůže komunikovat s cloudovou infrastrukturou Defenderu for Identity. | Ručně aktualizujte senzor a zkontrolujte, proč se senzor automaticky neaktualizuje. Pokud tato možnost nefunguje, stáhněte si nejnovější instalační balíček senzoru a odinstalujte a znovu nainstalujte senzor. Další informace najdete v tématu Stažení senzoru Identity v programu Microsoft Defender for Identity a instalace senzoru Microsoft Defenderu for Identity. | střední | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Senzor dosáhl limitu prostředků paměti
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor služby Defender for Identity se zastavil a automaticky se restartuje, aby se řadič domény chránil před nedostatkem paměti. | Senzor služby Defender for Identity vynucuje omezení paměti sama o sobě, aby zabránil řadiči domény v případě, že dochází k omezením prostředků. K tomuto problému dochází, když je vysoké využití paměti na řadiči domény. Data z tohoto řadiče domény se monitorují jenom částečně. | Zvyšte množství paměti (RAM) na řadiči domény nebo přidejte další řadiče domény v této lokalitě, aby se lépe distribuuje zatížení tohoto řadiče domény. | střední | Karta Problémy se stavem senzorů |
Službě senzoru se nepodařilo spustit
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Službě senzoru služby Defender for Identity se nepodařilo spustit alespoň 30 minut. | Tento problém může ovlivnit schopnost detekovat podezřelé aktivity pocházející z řadičů domény, které monitoruje tento senzor identity v programu Defender for Identity. | Monitorujte protokoly snímačů služby Defender for Identity, abyste porozuměli původní příčině selhání služby Senzor služby Defender for Identity. | Nejvyšší | Karta Problémy se stavem senzorů |
Senzor přestal komunikovat
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Ze senzoru služby Defender for Identity nebyla žádná komunikace. Výchozí časový rozsah pro tuto výstrahu je 5 minut. | Síťový adaptér na senzoru služby Defender for Identity už nezachytává síťový provoz. To má vliv na schopnost Defenderu for Identity detekovat podezřelé aktivity, protože síťový provoz se nemůže spojit s cloudovou službou Defender for Identity. | Zkontrolujte, jestli není port používaný ke komunikaci mezi senzorem identity Defender for Identity a cloudovou službou Defender for Identity blokován žádnými směrovači nebo branami firewall. | střední | Karta Problémy se stavem senzorů |
Některé události Windows se neanalyzuje
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu přijímá více událostí, než může zpracovat. | Některé události Windows se neanalyzuje. To může ovlivnit schopnost detekovat podezřelé aktivity pocházející z řadičů domény, které monitoruje tento senzor identity v programu Defender for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. Pokud používáte samostatný senzor identity v programu Defender for Identity, ověřte, že se do senzoru přeposílají jenom požadované události. Nebo zkuste některé události přeposlat jinému senzoru defenderu pro identitu. | střední | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Některý síťový provoz se nedal analyzovat
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu přijímá více síťového provozu, než může zpracovat. | Některé síťové přenosy nešlo analyzovat. Tento problém může ovlivnit schopnost detekovat podezřelé aktivity pocházející z řadičů domény, které monitoruje tento senzor identity v programu Defender for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. Pokud používáte samostatný senzor identity v programu Defender for Identity, snižte počet monitorovaných řadičů domény. K tomuto problému může dojít také v případě, že používáte řadiče domény na virtuálních počítačích VMware. Abyste se těmto problémům vyhnuli, můžete zkontrolovat, jestli jsou na virtuálním počítači nastavená následující nastavení na hodnotu 0 nebo Zakázáno (v operačním systému Windows, ne v nastavení VMware): - Velké přesměrování odesílání V2 (IPv4) - Přesměrování zpracování TSO IPv4 Názvy se můžou lišit v závislosti na vaší verzi VMware. Další informace najdete v dokumentaci k VMware. |
střední | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Některé události Trasování událostí pro Windows se neanalyzují
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor služby Defender for Identity přijímá více událostí trasování událostí pro Windows (ETW), než může zpracovat. | Některé události trasování událostí pro Windows (ETW) se neanalyzuje. To může ovlivnit schopnost detekovat podezřelé aktivity pocházející z řadičů domény, které monitoruje tento senzor identity v programu Defender for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. | střední | Karta Problémy se stavem senzorů a karta Globální problémy se stavem |
Senzor spuštěný v operačním systému, který se brzy nepodporuje
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu běží v operačním systému, který se brzy nepodporuje. | Windows Server 2012 a 2012 R2 dosáhl konce podpory 10. října 2023. Další podrobnosti můžou být fount na: https://aka.ms/mdi/oseos | Operační systém na serveru by měl být upgradován na nejnovější podporovaný operační systém. Další podrobnosti najdete tady: https://aka.ms/mdi/os | střední | Karta Problémy se stavem senzorů |
Senzor spuštěný v nepodporovaném operačním systému
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu běží v nepodporovaném operačním systému. | Windows Server 2012 a 2012 R2 dosáhl konce podpory 10. října 2023. Další podrobnosti najdete tady: https://aka.ms/mdi/oseos | Operační systém na serveru by měl být upgradován na nejnovější podporovaný operační systém. Další podrobnosti najdete tady: https://aka.ms/mdi/os | Nejvyšší | Karta Problémy se stavem senzorů |
Senzor má problémy s komponentou zachytávání paketů
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor defenderu pro identitu používá místo ovladačů Npcap ovladače WinPcap. | Všichni zákazníci by měli místo ovladačů WinPcap používat ovladače Npcap. Počínaje programem Defender for Identity verze 2.184 instalační balíček nainstaluje OEM Npcap 1.0. | Nainstalujte npcap podle pokynů popsaných v tématu: https://aka.ms/mdi/npcap | Nejnižší | Karta Problémy se stavem senzorů |
| Senzor defenderu pro identitu používá starší verzi Npcap, než je minimální požadovaná verze. | Minimální podporovaná verze Npcap je 1.0. Počínaje programem Defender for Identity verze 2.184 instalační balíček nainstaluje OEM Npcap 1.0. | Podle pokynů podle pokynů upgradujte npcap, jak je popsáno v tématu: https://aka.ms/mdi/npcap | střední | Karta Problémy se stavem senzorů |
| Senzor služby Defender for Identity spouští komponentu Npcap, která není nakonfigurovaná podle potřeby. | V instalaci Npcap chybí požadované možnosti konfigurace. | Nainstalujte npcap podle pokynů popsaných v tématu: https://aka.ms/mdi/npcap | Nejvyšší | Karta Problémy se stavem senzorů |
Auditování NTLM není povolené
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování NTLM není povolené. | Auditování NTLM (pro událost s ID 8004) není na serveru povolené. (Tato konfigurace se ověřuje jednou týdně na senzor). | Povolte události auditování NTLM podle pokynů popsaných v části ID události 8004 na stránce Konfigurace kolekce událostí systému Windows. | střední | Karta Problémy se stavem senzorů |
Rozšířené auditování adresářových služeb není podle potřeby povolené.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Rozšířené auditování adresářových služeb není podle potřeby povolené. (Tato konfigurace se ověřuje jednou denně pro každou doménu). | Konfigurace rozšířeného auditování adresářových služeb nezahrnuje všechny kategorie a podkategorie podle potřeby. | Povolte události rozšířeného auditování adresářových služeb. Další informace najdete v tématu Konfigurace zásad auditu pro protokoly událostí Systému Windows. | střední | Karta Globální problémy se stavem |
Auditování objektů adresářových služeb není povolené podle potřeby.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování objektů adresářových služeb není podle potřeby povolené. (Tato konfigurace se ověřuje jednou denně pro každou doménu). | Konfigurace auditování objektů adresářových služeb neobsahuje všechny typy objektů a oprávnění podle potřeby. | Povolte události auditování objektů adresářové služby podle pokynů popsaných v části Konfigurace auditování objektů domény na stránce Konfigurovat kolekci událostí systému Windows. | střední | Karta Globální problémy se stavem |
Auditování kontejneru konfigurace není povolené podle potřeby.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování kontejneru konfigurace není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každou doménu). | Auditování adresářových služeb v kontejneru Konfigurace domény není podle potřeby povolené. | Povolte auditování adresářových služeb v kontejneru Konfigurace domény podle pokynů popsaných v části Konfigurovat zásady auditu na stránce Konfigurace kolekce událostí systému Windows. | střední | Karta Globální problémy se stavem |
Auditování kontejneru ADFS není povolené podle potřeby.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování kontejneru ADFS není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každou doménu). | Auditování adresářových služeb v kontejneru ADFS není povolené podle potřeby. | Povolte auditování adresářových služeb pro kontejner ADFS podle pokynů popsaných v části Konfigurace auditování v části Active Directory Federation Services (AD FS) (AD FS) na stránce Konfigurace kolekce událostí systému Windows. | střední | Karta Globální problémy se stavem |
Režim napájení není nakonfigurovaný pro optimální výkon procesoru.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Režim napájení není nakonfigurován pro optimální výkon procesoru. (Tato konfigurace se ověřuje jednou denně na senzor). | Režim napájení operačního systému není nakonfigurovaný na optimální nastavení výkonu procesoru. Tento problém může ovlivnit výkon serveru a schopnost senzorů detekovat podezřelé aktivity. | Udělejte jednu z těchto věcí: – Konfigurace možnosti napájení počítače se senzorem Defenderu pro identitu na vysoký výkon – Nastavte minimální i maximální stav procesoru na 100. Další informace najdete v části Požadavky na senzory a doporučení na stránce s požadavky služby Defender for Identity. |
Nejnižší | Karta Problémy se stavem senzorů |
Senzor se nepodařilo zapisovat do vlastní cesty protokolu.
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor se nepovedlo zapisovat do vlastní cesty protokolu. | Vlastní cesta protokolu zadaná v konfiguraci senzoru se nedá vytvořit. | 1. Zastavte a AATPSensorUpdaterAATPSensor zastavte služby. 2. Změňte SensorCustomLogLocation konfigurační soubor senzoru na platnou cestu nebo ho nastavte na hodnotu null. 3. Znovu spusťte AATPSensorUpdater služby a AATPSensor služby. |
Nejnižší | Karta Problémy se stavem senzorů |
Selhání příjmu dat v účtu Radius (integrace sítě VPN)
| Výstrahy | Popis | Rozlišení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Selhání příjmu dat v protokolu RADIUS (integrace sítě VPN) | Uvedené senzory Defenderu for Identity mají selhání příjmu dat radius (integrace VPN). | Ověřte, že sdílený tajný klíč v nastavení konfigurace defenderu for Identity odpovídá vašemu serveru VPN podle pokynů popsaných v části Konfigurace sítě VPN v programu Defender for Identity na stránce integrace sítě VPN v programu Defender for Identity. | Nejnižší | Stránka Problémy se stavem |