Microsoft Defender per identità problemi di integrità
La pagina problemi di integrità Microsoft Defender per identità elenca eventuali problemi di integrità correnti per la distribuzione e i sensori di Defender per identità, segnalando eventuali problemi nella distribuzione di Defender per identità.
Pagina Dei problemi di integrità
La pagina Microsoft Defender per identità Problemi di integrità consente di sapere quando si verifica un problema con l'area di lavoro di Defender per identità, generando un problema di integrità. Per accedere alla pagina, seguire questa procedura:
In Microsoft Defender XDR, in Identità selezionare Problemi di integrità.
Viene visualizzata la pagina Problemi di integrità, in cui è possibile visualizzare i problemi di integrità per l'ambiente generale di Defender per identità e per sensori specifici.
Defender per identità supporta i tipi di avvisi di integrità seguenti:
- Problemi di integrità correlati al dominio o aggregati, elencati nella scheda Problemi di integrità globali
- Problemi di integrità specifici del sensore, elencati nella scheda Problemi di integrità del sensore
Filtrare i problemi in base allo stato, al nome del problema o alla gravità per individuare il problema che si sta cercando.
Ad esempio:
Selezionare un problema per altri dettagli e l'opzione per chiudere o eliminare il problema. Ad esempio:
Problemi di integrità
Questa sezione descrive tutti i problemi di integrità per ogni componente, elencando la causa e i passaggi necessari per risolvere il problema.
I problemi di integrità specifici del sensore vengono visualizzati nella scheda Problemi di integrità del sensore e i problemi di integrità correlati al dominio o aggregati vengono visualizzati nella scheda Problemi di integrità globali, come descritto nelle tabelle seguenti:
Un controller di dominio non è raggiungibile da un sensore
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità ha funzionalità limitate a causa di problemi di connettività al controller di dominio configurato. | Ciò influisce sulla capacità di Defender per identità di rilevare attività sospette correlate ai controller di dominio monitorati da questo sensore defender per identità. | Assicurarsi che i controller di dominio siano operativi e che questo sensore defender per identità possa aprire le connessioni LDAP. Inoltre, in Impostazioni assicurarsi di configurare un account del servizio directory per ogni foresta distribuita. | Medio | Scheda Dei problemi di integrità dei sensori |
Tutte/Alcune schede di rete di acquisizione in un sensore non sono disponibili
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Tutte/Alcune delle schede di rete di acquisizione selezionate nel sensore defender per identità sono disabilitate o disconnesse. | Il traffico di rete per alcuni/tutti i controller di dominio non viene più acquisito dal sensore Defender per identità. Questo problema influisce sulla possibilità di rilevare attività sospette correlate a tali controller di dominio. | Assicurarsi che queste schede di rete di acquisizione selezionate nel sensore Defender per identità siano abilitate e connesse. | Medio | Scheda Dei problemi di integrità dei sensori |
Le credenziali utente dei servizi directory non sono valide
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Le credenziali per l'account utente dei servizi directory non sono corrette. | Questo problema influisce sulla capacità dei sensori di rilevare le attività usando query LDAP sui controller di dominio. | - Per gli account AD standard : verificare che il nome utente, la password e il dominio nella pagina di configurazione dei servizi directory siano corretti. - Per gli account del servizio gestito del gruppo: verificare che il nome utente e il dominio nella pagina di configurazione di Servizi directory siano corretti. Controllare anche tutti gli altri prerequisiti dell'account del servizio gestito del gruppo descritti nella pagina Raccomandazioni dell'account del servizio directory. |
Medio | Scheda Problemi di integrità globali |
Bassa frequenza di riuscita della risoluzione dei nomi attivi
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| I sensori di Defender per identità elencati non riescono a risolvere gli indirizzi IP nei nomi dei dispositivi oltre il 90% del tempo usando i metodi seguenti: - NTLM su RPC -Netbios - DNS inverso |
Ciò influisce sulle funzionalità di rilevamento di Defender per identità e potrebbe aumentare il numero di allarmi falsi positivi. | - Per NTLM su RPC: verificare che la porta 135 sia aperta per la comunicazione in ingresso dai sensori defender per identità in tutti i computer dell'ambiente. - Per DNS inverso: verificare che i sensori possano raggiungere il server DNS e che le zone di ricerca inversa siano abilitate. - Per NetBIOS: verificare che la porta 137 sia aperta per la comunicazione in ingresso dai sensori defender per identità in tutti i computer nell'ambiente. Assicurarsi inoltre che la configurazione di rete (ad esempio i firewall) non impedisca la comunicazione con le porte pertinenti. |
Bassa | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Nessun traffico ricevuto dal controller di dominio
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Nessun traffico ricevuto dal controller di dominio tramite questo sensore defender per identità. | Questo problema potrebbe indicare che il mirroring delle porte dai controller di dominio al sensore defender per identità non è ancora configurato o non funziona. | Verificare che il mirroring delle porte sia configurato correttamente nei dispositivi di rete. Nella scheda di interfaccia di rete di acquisizione del sensore Defender per identità disabilitare queste funzionalità in Advanced Impostazioni:On the Defender for Identity sensor capture NIC, disable these features in Advanced Impostazioni: Coalescing segmento di ricezione (IPv4) Coalescing segmento di ricezione (IPv6) |
Medio | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Password utente di sola lettura per scadere a breve
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| La password utente di sola lettura, usata per eseguire la risoluzione delle entità in Active Directory, sta per scadere in meno di 30 giorni. | Se la password per questo utente scade, tutti i sensori defender per identità non vengono eseguiti e non vengono raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory. | Medio | Scheda Problemi di integrità globali |
Password utente di sola lettura scaduta
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Password utente di sola lettura, usata per ottenere i dati della directory, scaduta. | Tutti i sensori defender per identità smetteranno di essere in esecuzione o smetteranno di essere eseguiti presto e non vengono raccolti nuovi dati. | Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory. | Alto | Scheda Problemi di integrità globali |
Sensore non aggiornato
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Un sensore defender per identità non è aggiornato. | Un sensore defender per identità esegue una versione che non può comunicare con l'infrastruttura cloud di Defender per identità. | Aggiornare manualmente il sensore e verificare il motivo per cui il sensore non viene aggiornato automaticamente. Se questa opzione non funziona, scaricare il pacchetto di installazione del sensore più recente e disinstallare e reinstallare il sensore. Per altre informazioni, vedere Scaricare il sensore di Microsoft Defender per identità e Installare il sensore Microsoft Defender per identità. | Medio | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Il sensore ha raggiunto un limite di risorse di memoria
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità si arresta e riavvia automaticamente per proteggere il controller di dominio da una condizione di memoria insufficiente. | Il sensore Defender per identità applica limitazioni di memoria a se stesso per impedire al controller di dominio di riscontrare limitazioni delle risorse. Questo problema si verifica quando l'utilizzo della memoria nel controller di dominio è elevato. I dati di questo controller di dominio vengono monitorati solo parzialmente. | Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere più controller di dominio in questo sito per distribuire meglio il carico di questo controller di dominio. | Medio | Scheda Dei problemi di integrità dei sensori |
Avvio del servizio sensore non riuscito
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| L'avvio del servizio sensore Defender per identità non è riuscito per almeno 30 minuti. | Questo problema può influire sulla possibilità di rilevare attività sospette provenienti da controller di dominio monitorati da questo sensore defender per identità. | Monitorare i log dei sensori di Defender per identità per comprendere la causa radice dell'errore del servizio sensore defender per identità. | Alto | Scheda Dei problemi di integrità dei sensori |
Il sensore ha smesso di comunicare
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Non è stata eseguita alcuna comunicazione dal sensore Defender per identità. L'intervallo di tempo predefinito per questo avviso è di 5 minuti. | Il traffico di rete non viene più acquisito dalla scheda di rete nel sensore Defender per identità. Ciò influisce sulla capacità di Defender per identità di rilevare attività sospette, poiché il traffico di rete non è in grado di raggiungere il servizio cloud Defender per identità. | Verificare che la porta usata per la comunicazione tra il sensore defender per identità e il servizio cloud Defender per identità non sia bloccata da router o firewall. | Medio | Scheda Dei problemi di integrità dei sensori |
Alcuni eventi di Windows non vengono analizzati
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità riceve più eventi di quanto possa elaborare. | Alcuni eventi di Windows non vengono analizzati. Ciò può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore defender per identità. | Prendere in considerazione l'aggiunta di più processori e memoria in base alle esigenze. Se si usa un sensore autonomo defender per identità, verificare che solo gli eventi richiesti vengano inoltrati al sensore. In alternativa, provare a inoltrare alcuni eventi a un altro sensore defender per identità. | Medio | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Non è stato possibile analizzare parte del traffico di rete
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità riceve più traffico di rete rispetto a quello che può elaborare. | Non è stato possibile analizzare il traffico di rete. Questo problema può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore defender per identità. | Prendere in considerazione l'aggiunta di più processori e memoria in base alle esigenze. Se si usa un sensore autonomo defender per identità, ridurre il numero di controller di dominio monitorati. Questo problema può verificarsi anche se si usano controller di dominio nelle macchine virtuali VMware. Per evitare questi problemi, è possibile verificare che le impostazioni seguenti siano impostate su 0 o Disabilitato nella macchina virtuale (nel sistema operativo Windows, non nelle impostazioni VMware): - Offload di invio di grandi dimensioni V2 (IPv4) - IPv4 TSO Offload I nomi possono variare a seconda della versione di VMware. Per ulteriori informazioni, vedere la documentazione di VMware. |
Medio | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Alcuni eventi ETW non vengono analizzati
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità riceve più eventi ETW (Event Tracing for Windows) di quanto possa elaborare. | Alcuni eventi ETW (Event Tracing for Windows) non vengono analizzati. Ciò può influire sulla possibilità di rilevare attività sospette provenienti dai controller di dominio monitorati da questo sensore defender per identità. | Prendere in considerazione l'aggiunta di più processori e memoria in base alle esigenze. | Medio | Scheda Dei problemi di integrità dei sensori e scheda Problemi di integrità globali |
Sensore in esecuzione in un sistema operativo che presto non sarà supportato
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità è in esecuzione in un sistema operativo che presto non sarà supportato. | Windows Server 2012 e 2012 R2 ha raggiunto la fine del supporto il 10 ottobre 2023. Altri dettagli possono essere foziati all'indirizzo: https://aka.ms/mdi/oseos | Il sistema operativo nel server deve essere aggiornato al sistema operativo supportato più recente. Per altri dettagli, vedere: https://aka.ms/mdi/os | Medio | Scheda Dei problemi di integrità dei sensori |
Sensore in esecuzione in un sistema operativo non supportato
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore Defender per identità è in esecuzione in un sistema operativo non supportato. | Windows Server 2012 e 2012 R2 ha raggiunto la fine del supporto il 10 ottobre 2023. Altri dettagli sono disponibili all'indirizzo: https://aka.ms/mdi/oseos | Il sistema operativo nel server deve essere aggiornato al sistema operativo supportato più recente. Per altri dettagli, vedere: https://aka.ms/mdi/os | Alto | Scheda Dei problemi di integrità dei sensori |
Il sensore presenta problemi con il componente di acquisizione pacchetti
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore defender per identità usa i driver WinPcap anziché i driver Npcap. | Tutti i clienti devono usare driver Npcap anziché i driver WinPcap. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM. | Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Bassa | Scheda Dei problemi di integrità dei sensori |
| Il sensore Defender per identità esegue una versione Npcap precedente alla versione minima richiesta. | La versione minima di Npcap supportata è 1.0. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM. | Aggiornare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Medio | Scheda Dei problemi di integrità dei sensori |
| Il sensore Defender per identità esegue un componente Npcap non configurato come richiesto. | L'installazione di Npcap non contiene le opzioni di configurazione necessarie. | Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap | Alto | Scheda Dei problemi di integrità dei sensori |
Il controllo NTLM non è abilitato
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il controllo NTLM non è abilitato. | Il controllo NTLM (per l'ID evento 8004) non è abilitato nel server. Questa configurazione viene convalidata una volta alla settimana, per sensore. | Abilitare gli eventi di controllo NTLM in base alle indicazioni descritte nella sezione ID evento 8004 nella pagina Configura raccolta eventi di Windows. | Medio | Scheda Dei problemi di integrità dei sensori |
Il controllo avanzato di Servizi directory non è abilitato in base alle esigenze
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il controllo avanzato di Servizi directory non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per dominio. | La configurazione di Controllo avanzato di Servizi directory non include tutte le categorie e le sottocategorie in base alle esigenze. | Abilitare gli eventi di controllo avanzato di Servizi directory. Per altre informazioni, vedere Configurare i criteri di controllo per i registri eventi di Windows. | Medio | Scheda Problemi di integrità globali |
Il controllo degli oggetti di Servizi directory non è abilitato in base alle esigenze
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il controllo degli oggetti di Servizi directory non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per dominio. | La configurazione di Controllo oggetti di Servizi directory non include tutti i tipi di oggetto e le autorizzazioni in base alle esigenze. | Abilitare gli eventi di controllo degli oggetti di Servizi directory in base alle indicazioni descritte nella sezione Configurare il controllo degli oggetti di dominio nella pagina Configura raccolta eventi di Windows. | Medio | Scheda Problemi di integrità globali |
Il controllo nel contenitore di configurazione non è abilitato in base alle esigenze
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il controllo nel contenitore di configurazione non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per dominio. | Il controllo dei servizi directory nel contenitore configurazione del dominio non è abilitato in base alle esigenze. | Abilitare il controllo dei servizi directory nel contenitore Configurazione del dominio in base alle indicazioni descritte nella sezione Configura criteri di controllo nella pagina Configura raccolta eventi di Windows. | Medio | Scheda Problemi di integrità globali |
Il controllo nel contenitore ADFS non è abilitato in base alle esigenze
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il controllo nel contenitore ADFS non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per dominio. | Il controllo di Servizi directory nel contenitore ADFS non è abilitato in base alle esigenze. | Abilitare il controllo di Servizi directory nel contenitore ADFS in base alle indicazioni descritte nella sezione Configurare il controllo in un'istanza di Active Directory Federation Services (AD FS) nella pagina Configura raccolta eventi di Windows. | Medio | Scheda Problemi di integrità globali |
La modalità di alimentazione non è configurata per prestazioni ottimali del processore
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| La modalità di alimentazione non è configurata per prestazioni ottimali del processore. Questa configurazione viene convalidata una volta al giorno, per sensore. | La modalità di alimentazione del sistema operativo non è configurata per le impostazioni ottimali delle prestazioni del processore. Questo problema può influire sulle prestazioni del server e sulla capacità dei sensori di rilevare attività sospette. | Eseguire una delle operazioni seguenti: - Configurare l'opzione di alimentazione del computer che esegue il sensore defender per identità a prestazioni elevate - Impostare lo stato minimo e massimo del processore su 100 Per altre informazioni, vedere la sezione Requisiti e consigli del sensore nella pagina Prerequisiti di Defender per identità. |
Bassa | Scheda Dei problemi di integrità dei sensori |
Il sensore non è riuscito a scrivere nel percorso del log personalizzato
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Il sensore non è riuscito a scrivere nel percorso del log personalizzato. | Non è possibile creare il percorso del log personalizzato fornito nella configurazione del sensore. | 1. Arrestare i AATPSensorUpdater servizi e AATPSensor . 2. Modificare l'oggetto SensorCustomLogLocation nel file di configurazione del sensore in un percorso valido o impostarlo su Null. 3. Avviare di nuovo i AATPSensorUpdater servizi e AATPSensor . |
Bassa | Scheda Dei problemi di integrità dei sensori |
Errori di inserimento dati di accounting Radius (integrazione VPN)
| Avviso | Descrizione | Risoluzione | Gravità | Visualizzato in |
|---|---|---|---|---|
| Errori di inserimento dati di accounting Radius (integrazione VPN). | I sensori di Defender per identità elencati presentano errori di inserimento dati di inserimento dati (integrazione VPN). | Verificare che il segreto condiviso nelle impostazioni di configurazione di Defender per identità corrisponda al server VPN, in base alle indicazioni descritte nella sezione Configurare VPN in Defender per identità , nella pagina di integrazione di Defender per identità VPN. | Bassa | Pagina Dei problemi di integrità |