avvisi di integrità del sensore Microsoft Defender per identità
Nota
L'esperienza descritta in questa pagina può essere accessibile come https://security.microsoft.com parte di Microsoft 365 Defender.
Pagina Problemi di integrità
La pagina Microsoft Defender per identità Problemi di integrità consente di sapere quando si verifica un problema con l'istanza di Defender for Identity, generando un avviso di integrità. Per accedere alla pagina, seguire questa procedura:
In Microsoft 365 Defender passare a Impostazioni e quindi Identità.
In Generale selezionare Problemi di integrità.
Viene visualizzata la pagina Problemi di integrità , in cui è possibile visualizzare problemi di integrità aperti, chiusi e eliminati .
Selezionare qualsiasi problema per altri dettagli e l'opzione per chiudere o eliminare il problema.
Nota
Gli avvisi di integrità correlati al sensore sono disponibili anche nella pagina Impostazioni del sensore .
Avvisi di integrità
Questa sezione descrive tutti gli avvisi di integrità per ogni componente, elencando la causa e i passaggi necessari per risolvere il problema.
Tutti i controller di dominio non sono raggiungibili da un sensore
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity è attualmente offline a causa di problemi di connettività a tutti i controller di dominio configurati. | Ciò influisce sulla capacità di Defender for Identity di rilevare attività sospette correlate ai controller di dominio monitorati da questo sensore Defender for Identity. | Assicurarsi che i controller di dominio siano in esecuzione e che questo sensore Defender for Identity possa aprire le connessioni LDAP a loro. In Impostazioni assicurarsi inoltre di configurare un account del servizio directory per ogni foresta distribuita. | Medio | Pagina Delle impostazioni dei sensori |
Tutte o alcune delle schede di rete di acquisizione in un sensore non sono disponibili
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Tutti/Alcuni degli adattatori di rete di acquisizione selezionati nel sensore Defender for Identity sono disabilitati o disconnessi. | Il traffico di rete per alcuni/tutti i controller di dominio non viene più acquisito dal sensore Defender for Identity. Ciò ha effetto sulla possibilità di rilevare attività sospette correlate ai controller di dominio. | Assicurarsi che queste schede di rete di acquisizione selezionate nel sensore Defender for Identity siano abilitate e connesse. | Medio | Pagina Delle impostazioni dei sensori |
Le credenziali utente dei servizi directory non sono valide
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Le credenziali per l'account utente dei servizi directory non sono corrette. | Questo influisce sulla capacità dei sensori di rilevare le attività usando le query LDAP sui controller di dominio. | - Per account AD standard: Verificare che il nome utente, la password e il dominio nella pagina di configurazione Directory services (Servizi directory) siano corretti. - Per gli account del servizio gestito del gruppo: Verificare che il nome utente e il dominio nella pagina di configurazione Directory services (Servizi directory) siano corretti. Controllare anche tutti gli altri prerequisiti dell'account gMSA descritti nella pagina raccomandazioni dell'account del servizio directory . |
Medio | Pagina Problemi di integrità |
Percentuali ridotte di esiti positivi per la risoluzione dei nomi attiva
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| I sensori Defender for Identity elencati non riescono a risolvere gli indirizzi IP ai nomi dei dispositivi più del 90% del tempo usando i metodi seguenti: - NTLM su RPC - NetBIOS - DNS inverso |
Ciò influisce sulle funzionalità di rilevamento di Defender for Identity e potrebbe aumentare il numero di avvisi falsi positivi. | - Per NTLM su RPC: verificare che la porta 135 sia aperta per la comunicazione in ingresso da Defender per i sensori di identità in tutti i computer nell'ambiente. - Per DNS inverso: Verificare che il sensore possa raggiungere il server DNS e che le zone di ricerca inversa siano abilitate. - Per NetBIOS: verificare che la porta 137 sia aperta per la comunicazione in ingresso da Defender per i sensori di identità in tutti i computer nell'ambiente. Assicurarsi inoltre che la configurazione di rete (ad esempio firewall) non impedisca la comunicazione alle porte pertinenti. |
Basso | Pagina delle impostazioni dei sensori e problemi di integrità |
Nessun traffico ricevuto dal controller di dominio
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Nessun traffico ricevuto dal controller di dominio tramite questo sensore Defender for Identity. | Ciò potrebbe indicare che il mirroring delle porte dai controller di dominio al sensore Defender for Identity non è ancora configurato o non funziona. | Verificare che il mirroring delle porte sia configurato correttamente nei dispositivi di rete. Nella scheda di interfaccia di interfaccia di rete di acquisizione del sensore Defender for Identity disabilitare queste funzionalità in Impostazioni avanzate: Unione segmenti ricevuti (IPv4) Unione segmenti ricevuti (IPv6) |
Medio | Pagina delle impostazioni dei sensori e problemi di integrità |
Password dell'utente di sola lettura prossima alla scadenza
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| The read-only user password, used to perform resolution of entities against Active Directory, is about to expire in less than 30 days (La password utente di sola lettura usata per eseguire la risoluzione delle entità in Active Directory scadrà tra meno di 30 giorni). | Se la password per questo utente scade, tutti i sensori Defender for Identity non vengono eseguiti e non vengono raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory . | Medio | Pagina Problemi di integrità |
Password utente di sola lettura scaduta
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| The read-only user password, used to get directory data, expired (La password utente di sola lettura usata per ottenere i dati di directory è scaduta). | Tutti i sensori Defender for Identity non vengono eseguiti (o verranno arrestati presto) e non vengono raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory . | Alto | Pagina Problemi di integrità |
Sensore non aggiornato
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Un sensore Defender for Identity è obsoleto. | Un sensore Defender per identità esegue una versione che non può comunicare con l'infrastruttura cloud Defender for Identity. | Aggiornare manualmente il sensore e verificare il motivo per cui non viene automaticamente aggiornato. Se il problema persiste, scaricare il pacchetto di installazione più recente del sensore e disinstallare e reinstallare il sensore. Per altre informazioni, vedere Scaricare il sensore Microsoft Defender per identità e installare il sensore di Microsoft Defender per identità. | Medio | Pagina delle impostazioni dei sensori e problemi di integrità |
Il sensore ha raggiunto un limite di risorse di memoria
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity si è arrestato e riavvia automaticamente per proteggere il controller di dominio da una condizione di memoria ridotta. | Il sensore Defender for Identity applica limitazioni di memoria su se stesso per impedire al controller di dominio di riscontrare limitazioni delle risorse. Ciò si verifica quando l'utilizzo della memoria nel controller di dominio è elevato. I dati provenienti da questo controller di dominio sono parzialmente monitorati. | Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere altri controller di dominio nel sito per ottimizzare la distribuzione del carico del controller di dominio. | Media | Pagina Delle impostazioni dei sensori |
Impossibile avviare il servizio del sensore
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il servizio sensore Defender for Identity non è riuscito ad avviare per almeno 30 minuti. | Ciò può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender for Identity. | Monitorare i log del sensore Defender per identità per comprendere la causa radice dell'errore del servizio sensore Defender for Identity. | Alto | Pagina Delle impostazioni dei sensori |
Il sensore ha smesso di comunicare
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Non è stata eseguita alcuna comunicazione dal sensore Defender for Identity. The default time span for this alert is 5 minutes (Nessuna comunicazione dal gateway ATA. La durata predefinita di questo avviso è di cinque minuti). | Il traffico di rete non viene più acquisito dalla scheda di rete nel sensore Defender for Identity. Ciò influisce sulla capacità di Defender for Identity di rilevare attività sospette, poiché il traffico di rete non sarà in grado di raggiungere il servizio cloud Defender for Identity. | Verificare che la porta utilizzata per la comunicazione tra il sensore Defender per identità e il servizio cloud Defender for Identity non sia bloccato da router o firewall. | Medio | Pagina Delle impostazioni dei sensori |
Alcuni controller di dominio non sono raggiungibili da un sensore
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Un sensore Defender for Identity ha funzionalità limitate a causa di problemi di connettività a alcuni dei controller di dominio configurati. | Passare il rilevamento hash potrebbe essere meno accurato quando alcuni controller di dominio non possono essere sottoposti a query dal sensore Defender for Identity. | Assicurarsi che i controller di dominio siano in esecuzione e che questo sensore Defender for Identity possa aprire le connessioni LDAP a loro. | Medio | Pagina Delle impostazioni dei sensori |
Alcuni eventi di Windows non vengono analizzati
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity riceve più eventi che può elaborare. | Alcuni eventi di Windows non vengono analizzati, che possono influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender for Identity. | Verificare che vengano inoltrati solo gli eventi necessari al sensore Defender for Identity o provare a inoltrare alcuni degli eventi a un altro sensore Defender for Identity. | Medio | Pagina delle impostazioni dei sensori e problemi di integrità |
Non è stato possibile analizzare parte del traffico di rete
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity riceve più traffico di rete che può elaborare. | Non è stato possibile analizzare un traffico di rete, che può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender for Identity. | Può essere utile aggiungere altri processori e memoria in base alle esigenze specifiche. Se si tratta di un sensore Defender per identità autonomo, ridurre il numero di controller di dominio monitorati. Ciò può verificarsi anche se si usano controller di dominio nelle macchine virtuali VMware. Per evitare questi avvisi, verificare che le impostazioni seguenti siano impostate su 0 o disabilitate nella macchina virtuale: - TsoEnable - LargeSendOffload(IPv4) - IPv4 TSO Offload Inoltre, è consigliabile disabilitare IPv4 Giant TSO Offload. Per ulteriori informazioni, vedere la documentazione di VMware. |
Media | Pagina delle impostazioni dei sensori e problemi di integrità |
Alcuni eventi ETW non vengono analizzati
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity riceve più eventi di Traccia eventi per Windows (ETW) che possono essere elaborati. | Alcuni eventi di Traccia eventi per Windows (ETW) non vengono analizzati, che possono influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender for Identity. | Assicurarsi che la macchina del sensore sia ridimensionata correttamente in base allo strumento di ridimensionamento. In caso affermativo, contattare il supporto tecnico. | Medio | Pagina delle impostazioni dei sensori e problemi di integrità |
Sensore con Windows Server 2008 R2: non sarà supportato presto
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity è in esecuzione in Windows 2008 R2, che sarà presto non supportato. | A partire dal 15 giugno 2022, Microsoft non supporterà più il sensore Defender for Identity nei dispositivi che eseguono Windows Server 2008 R2. Altri dettagli possono essere foziati in: https://aka.ms/mdi/2008r2 | Aggiornare il sistema operativo in questo controller di dominio a almeno Windows Server 2012. | Medio (a partire dal 1 giugno 2022 la gravità di questo avviso di integrità sarà elevata) | Pagina Delle impostazioni dei sensori |
Sensore con Windows Server 2008 R2: non supportato
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity è in esecuzione in Windows 2008 R2, che non è supportato. | A partire dal 15 giugno 2022, Microsoft non supporterà più il sensore Defender for Identity nei dispositivi che eseguono Windows Server 2008 R2. Altre informazioni sono disponibili in: https://aka.ms/mdi/2008r2 | Aggiornare il sistema operativo in questo controller di dominio a almeno Windows Server 2012. | Alto | Pagina Delle impostazioni dei sensori |
Il sensore ha problemi relativi all'acquisizione di pacchetti
| Avviso | Descrizione | Soluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender for Identity usa i driver WinPcap anziché i driver Npcap. | È consigliabile che tutti i clienti usino il driver Npcap anziché i driver WinPcap. A partire da Defender for Identity versione 2.184, il pacchetto di installazione installerà Npcap 1.0 OEM anziché i driver WinPcap 4.1.3. | Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Basso | Pagina Delle impostazioni dei sensori |
| Il sensore Defender for Identity esegue una versione Npcap precedente alla versione minima richiesta. | È consigliabile che tutti i clienti usino il driver Npcap anziché i driver WinPcap. A partire da Defender for Identity versione 2.184, il pacchetto di installazione installerà Npcap 1.0 OEM anziché i driver WinPcap 4.1.3. | Aggiornare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Medio | Pagina Delle impostazioni dei sensori |
| Il sensore Defender for Identity esegue un componente Npcap che non è configurato in base alle esigenze. | È consigliabile che tutti i clienti usino il driver Npcap anziché i driver WinPcap. A partire da Defender for Identity versione 2.184, il pacchetto di installazione installerà Npcap 1.0 OEM anziché i driver WinPcap 4.1.3. | Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Alto | Pagina Delle impostazioni dei sensori |