Microsoft Defender for Identity 正常性の問題
Microsoft Defender for Identity の [正常性の問題] ページには、Defender for Identity のデプロイとセンサーに関する現在の正常性の問題が一覧表示され、Defender for Identity のデプロイの問題に関するアラートが示されます。
正常性の問題のページ
Microsoft Defender for Identity の正常性問題ページでは、正常性問題を生成することで、Defender for Identity ワークスペースに問題が発生したときに通知します。 このページにアクセスするには、次の手順に従います。
Microsoft Defender XDR の [ID] で、[正常性の問題] を選択します。
[正常性の問題] ページが表示され、一般的な Defender for Identity 環境と特定のセンサーの両方に関する正常性の問題を確認できます。
Defender for Identity では、以下の種類の正常性アラートがサポートされています。
- [グローバルな正常性の問題] タブに表示される、ドメイン関連または全体的な正常性の問題
- [センサーの正常性の問題] タブに表示される、センサー固有の正常性の問題
問題の名前、状態、または重大度で問題を絞り込むと、探している問題を見つけやすくなります。
次に例を示します。
任意の問題を選択して詳細を表示し、問題を閉じるか非表示にするオプションを選択します。 次に例を示します。
正常性に関する問題
この章では、各コンポーネントのすべての正常性の問題について説明し、原因と問題の解決に必要な手順を一覧表示します。
センサー固有の正常性の問題が [センサーの正常性の問題] タブに表示されメイン関連または集計された正常性の問題は、次の表で詳しく説明されているように、[グローバル正常性問題] タブに表示されます。
センサーがドメイン コントローラーに到達できない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、構成されたドメイン コントローラーへの接続の問題により機能が制限されています。 | これは、Defender for Identity センサーによって監視される、実行に関連する疑わしいアクティビティメインコントローラーを検出する Defender for Identity の機能に影響します。 | ドメイン コントローラーが稼働していること、およびこの Defender for Identity センサーがそれらに対する LDAP 接続を開くことができることを確認します。 さらに、設定で、デプロイされたすべてのフォレストに対してディレクトリ サービス アカウントを必ず構成してください。 | 中 | センサーの正常性の問題タブ |
センサーのネットワーク キャプチャ アダプターの一部またはすべてを使用できない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーで選択されているキャプチャ ネットワーク アダプターのすべて/一部が無効または切断されています。 | 一部またはすべてのドメイン コントローラーのネットワーク トラフィックは、Defender for Identity センサーによってキャプチャされなくなりました。 この問題は、ドメイン コントローラーに関連する不審なアクティビティを検出する機能に影響します。 | Defender for Identity センサーで選択したこれらのキャプチャ ネットワーク アダプターが有効であり、接続されていることを確認します。 | 中 | センサーの正常性の問題タブ |
ディレクトリ サービス ユーザーの資格情報が正しくありません
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| ディレクトリ サービスのユーザー アカウントの資格情報が正しくありません。 | この問題は、ドメイン コントローラーに対して LDAP クエリを使用してアクティビティを検出するセンサーの機能に影響します。 | - 標準 AD アカウントの場合: ディレクトリ サービス構成ページのユーザー名とパスワード、ドメインが正しいことを確認します。 - グループの管理されたサービス アカウントの場合:ディレクトリ サービスの構成ページのユーザー名とドメインが正しいことを確認します。 また、ディレクトリ サービス アカウントの推奨事項のページで説明されている他のすべての gMSA アカウントの前提条件も確認します。 |
中 | グローバル正常性の問題タブ |
アクティブな名前解決の成功率が低い
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| 一覧に示されている Defender for Identity センサーは、次の方法を使用して、IP アドレスを 90% を超える時間のデバイス名に解決できない場合があります。 - RPC 経由の NTLM - NetBIOS - 逆引き DNS |
これは Defender for Identity の検出機能に影響し、誤検知アラームの数が増える可能性があります。 | - RPC を経由した NTLM の場合: 環境内のすべてのコンピューターで、Defender for Identity Sensors からの受信通信用に TCP ポート 135 が開かれていることを確認します。 - 逆引き DNS の場合: センサーが DNS サーバーに到達できることと、逆引き参照ゾーンが有効になっていることを確認します。 - NetBIOS の場合: 環境内のすべてのコンピューターで、Defender for Identity Sensors からの受信通信用に TCP ポート 137 が開かれていることを確認します。 さらに、ネットワーク構成 (ファイアウォールなど) が関連するポートへの通信を妨げていることを確認します。 |
低 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
ドメイン コントローラーからトラフィックを受信しない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| この Defender for Identity センサーを経由して、ドメイン コントローラーからトラフィックを受信できませんでした。 | この問題は、ドメイン コントローラーから Defender for Identity センサーへのポートミラーがまだ構成されていないか、動作していないことを示している可能性があります。 | ポート ミラーリングがネットワーク デバイスで正常に構成されていることを確認します。 Defender for Identity センサーキャプチャ NIC で、高度な設定の次の機能を無効にします。 Receive Segment Coalescing (IPv4) Receive Segment Coalescing (IPv6) |
中 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
読み取り専用ユーザー パスワードが間もなく期限切れになる
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Active Directory に対してエンティティの解決を実行するために使用される読み取り専用のユーザー パスワードは、30 日以内に有効期限が切れます。 | このユーザーのパスワードの有効期限が切れると、すべての Defender for Identity センサーの実行が停止し、新しいデータは収集されません。 | ドメイン接続パスワードを変更し、ディレクトリ サービス アカウントのパスワードを更新します。 | 中 | グローバル正常性の問題タブ |
読み取り専用ユーザー パスワードの有効期限が切れている
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| ディレクトリ データの取得に使用する読み取り専用ユーザー パスワードの有効期限が切れています。 | Defender for Identity センサーはすべて実行を停止するか、すぐに実行を停止し、新しいデータは収集されません。 | ドメイン接続パスワードを変更し、ディレクトリ サービス アカウントのパスワードを更新します。 | 高 | グローバル正常性の問題タブ |
期限切れのセンサー
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーが古くなっています。 | Defender for Identity センサーは、Defender for Identity クラウド インフラストラクチャと通信できないバージョンを実行しています。 | センサーとチェックを手動で更新し、センサーが自動的に更新されない理由を確認します。 このオプションが機能しない場合は、最新のセンサー インストール パッケージをダウンロードし、センサーをアンインストールして再インストールします。 詳細については、「Microsoft Defender for Identity センサーのダウンロード」および「Microsoft Defender for Identity センサーのインストール」を参照してください。 | 中 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
センサーがメモリ リソースの上限に達した
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーはそれ自体を停止し、ドメイン コントローラーをメモリ不足状態から保護するために自動的に再起動します。 | Defender for Identity センサーは、ドメイン コントローラーでリソースの制限が発生するのを防ぐために、センサー自体にメモリ制限を適用します。 この問題は、ドメイン コントローラーのメモリ使用量が多い場合に発生します。 このドメイン コントローラーのデータは、一部しか監視されません。 | ドメイン コントローラーのメモリ容量 (RAM) を増やすか、このサイトでドメイン コントローラーを追加して、このドメイン コントローラーの負荷をより適切に分散させます。 | 中 | センサーの正常性の問題タブ |
センサー サービスの開始に失敗した
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサー サービスを少なくとも 30 分間開始できませんでした。 | この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生した疑わしいアクティビティを検出する機能に影響する可能性があります。 | Defender for Identity センサー ログを監視して、Defender for Identity センサー サービスの障害の根本原因を理解します。 | 高 | センサーの正常性の問題タブ |
センサーが通信を停止した
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーからの通信がありません。 このアラートのデフォルト期間は 5 分です。 | ネットワーク トラフィックは、Defender for Identity センサーのネットワーク アダプターによってキャプチャされなくなりました。 これは、ネットワーク トラフィックが Defender for Identity クラウド サービスに到達できないため、Defender for Identity が疑わしいアクティビティを検出する機能に影響します。 | Defender for Identity センサーと Defender for Identity クラウド サービスの間の通信に使用されるポートが、ルーターまたはファイアウォールによってブロックされていないことを確認します。 | 中 | センサーの正常性の問題タブ |
一部の Windows イベントが分析されていません
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、処理できるよりも多くのイベントを受信しています。 | 一部の Windows イベントが分析されていません。 これは、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生した疑わしいアクティビティを検出する機能に影響することがあります。 | 必要に応じて、より多くのプロセッサとメモリを追加することを検討してください。 スタンドアロンの Defender for Identity センサーを使用している場合は、必要なイベントのみがセンサーに転送されることを確認します。 または、いくつかのイベントを別の Defender for Identity センサーに転送してみてください。 | 中 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
一部のネットワーク トラフィックが分析されない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、処理できるよりも多くのネットワーク トラフィックを受信しています。 | 一部のネットワーク トラフィックが分析されません。 この問題は、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生した疑わしいアクティビティを検出する機能に影響することがあります。 | 必要に応じて、より多くのプロセッサとメモリを追加することを検討してください。 スタンドアロンの Defender for Identity センサーを使用している場合は、監視するドメイン コントローラーの数を減らします。 この問題は、VMware 仮想マシンでドメイン コントローラーを使用している場合にも発生する可能性があります。 これらの問題を回避するには、次の設定が 0 に設定されているか、仮想マシンで無効に設定されていることをチェックしてください (Windows OS の設定。VMware ではない)。 - Large Send Offload V2 (IPv4) - IPv4 TSO Offload 名前は VMware のバージョンによって異なる場合があります。 詳細については、VMware のドキュメントを参照してください。 |
中 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
一部の ETW イベントが分析されていません
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、処理できるよりも多くの Event Tracing for Windows (ETW) イベントを受信しています。 | 一部の Event Tracing for Windows (ETW) イベントが分析されていません。 これは、この Defender for Identity センサーによって監視されるドメイン コントローラーから発生した疑わしいアクティビティを検出する機能に影響することがあります。 | 必要に応じて、より多くのプロセッサとメモリを追加することを検討してください。 | 中 | センサーの正常性の問題タブとグローバル正常性の問題タブ |
すぐにサポートされなくなるオペレーティング システムで実行されているセンサー
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、すぐにサポートされなくなるオペレーティング システムで実行されています。 | Windows Server 2012 と 2012 R2 のサポートは、2023 年 10 月 10 日に終了しました。 詳細については: https://aka.ms/mdi/oseos | サーバー上のオペレーティング システムは、サポートされている最新のオペレーティング システムにアップグレードする必要があります。 詳細については: https://aka.ms/mdi/os | 中 | センサーの正常性の問題タブ |
サポートされていないオペレーティング システムで実行されているセンサー
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、サポートされていないオペレーティング システムで実行されています。 | Windows Server 2012 と 2012 R2 のサポートは、2023 年 10 月 10 日に終了しました。 詳しくは、https://aka.ms/mdi/oseos をご覧ください | サーバー上のオペレーティング システムは、サポートされている最新のオペレーティング システムにアップグレードする必要があります。 詳細については: https://aka.ms/mdi/os | 高 | センサーの正常性の問題タブ |
センサーにパケット キャプチャ コンポーネントに関する問題がある
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Defender for Identity センサーは、Npcap ドライバーの代わりに WinPcap ドライバーを使用しています。 | すべてのお客様は、WinPcap ドライバーの代わりに Npcap ドライバーを使用する必要があります。 Defender for Identity バージョン 2.184 以降では、インストール パッケージによって Npcap 1.0 OEM がインストールされます。 | 次のガイダンスに従って Npcap をインストールします: https://aka.ms/mdi/npcap | 低 | センサーの正常性の問題タブ |
| Defender for Identity センサーは、最低限必要なバージョンよりも古い Npcap バージョンを実行しています。 | サポートされる Npcap の最小バージョンは 1.0 です。 Defender for Identity バージョン 2.184 以降では、インストール パッケージによって Npcap 1.0 OEM がインストールされます。 | 次のガイダンスに従って Npcap をアップグレードします: https://aka.ms/mdi/npcap | 中 | センサーの正常性の問題タブ |
| Defender for Identity センサーは、必要に応じて構成されていない Npcap コンポーネントを実行しています。 | Npcap インストールに必要な構成オプションがありません。 | 次のガイダンスに従って Npcap をインストールします: https://aka.ms/mdi/npcap | 高 | センサーの正常性の問題タブ |
NTLM 監査が有効になっていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| NTLM 監査が有効になっていません。 | NTLM 監査 (イベント ID 8004 の場合) がサーバーで有効になっていません。 (この構成は、センサーごとに週に 1 回検証されます)。 | Windows イベント収集の構成ページの「イベント ID 8004」章の説明に従って、NTLM 監査イベントを有効にします。 | 中 | センサーの正常性の問題タブ |
ディレクトリ サービスの高度な監査が必要に応じて有効になっていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| ディレクトリ サービスの高度な監査が必要に応じて有効になっていません。 (この構成は、1 日に 1 回ドメインごとに検証されます)。 | Directory Services の高度な監査構成には、必要に応じてすべてのカテゴリとサブカテゴリが含まれるわけではありません。 | ディレクトリ サービスの高度な監査イベントを有効にします。 詳細については、「Windows イベント ログの監査ポリシーを構成する」を参照してください。 | 中 | グローバル正常性の問題タブ |
ディレクトリ サービス オブジェクトの監査が必要に応じて有効になっていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| ディレクトリ サービス オブジェクトの監査が必要に応じて有効になっていません。 (この構成は、1 日に 1 回ドメインごとに検証されます)。 | ディレクト サービス オブジェクト監査構成には、必要に応じてすべてのオブジェクトの種類とアクセス許可が含まれるわけではありません。 | Windows イベント収集の構成ページの「ドメイン オブジェクト監査の構成」セクションの説明に従って、ディレクトリ サービス オブジェクトの監査イベントを有効にします。 | 中 | グローバル正常性の問題タブ |
構成コンテナーの監査が必要に応じて有効になっていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| 構成コンテナーの監査が必要に応じて有効になっていません。 (この構成は、1 日に 1 回ドメインごとに検証されます)。 | ドメインの構成コンテナーのディレクトリ サービス監査が、必要に応じて有効になっていません。 | Windows イベント収集の構成ページの「監査ポリシーの構成」セクションの説明に従って、ドメインの構成コンテナーでディレクトリ サービス監査を有効にします。 | 中 | グローバル正常性の問題タブ |
ADFS コンテナーの監査が必要に応じて有効になっていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| ADFS コンテナーの監査が必要に応じて有効になっていません。 (この構成は、1 日に 1 回ドメインごとに検証されます)。 | ADFS コンテナーのディレクトリ サービス監査が、必要に応じて有効になっていません。 | Windows イベント収集の構成ページの「Active Directory フェデレーション サービス (AD FS) の監査を構成する」セクションの説明に従って、ADFS コンテナーでディレクトリ サービス監査を有効にします。 | 中 | グローバル正常性の問題タブ |
最適なプロセッサ パフォーマンスのために電源モードが構成されていない
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| 最適なプロセッサ パフォーマンスのために電源モードが構成されていません。 (この構成は、センサーごとに 1 日に 1 回検証されます)。 | オペレーティング システムの電源モードは、最適なプロセッサ パフォーマンス設定に構成されていません。 この問題は、サーバーのパフォーマンスと、疑わしいアクティビティを検出するセンサーの機能に影響する可能性があります。 | 次のいずれかの操作を行います。 - Defender for Identity センサーが実行されているコンピューターの電源オプションを高パフォーマンスに設定します - プロセッサの最小と最大の両方の状態を 100 に 設定します 詳細については、Defender for Identity の前提条件ページの「センサーの要件と推奨事項」セクションを参照してください。 |
低 | センサーの正常性の問題タブ |
センサーがカスタム ログ パスの書き込みに失敗した
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| センサーがカスタム ログ パスの書き込みに失敗しました。 | センサー構成で指定されたカスタム ログ パスは作成できません。 | 1. AATPSensorUpdater および AATPSensor サービスを停止します。 2. センサー構成ファイルで SensorCustomLogLocation を変更して有効なパスにするか、または null に設定します。 3. AATPSensorUpdater および AATPSensor サービスを再度開始します。 |
低 | センサーの正常性の問題タブ |
Radius アカウンティング (VPN 統合) データ インジェストエラー
| Alert | 説明 | 解像度 | 重要度 | 以下に表示されます |
|---|---|---|---|---|
| Radius アカウンティング (VPN 統合) データ インジェストが失敗しました。 | 一覧に示されている Defender for Identity センサーには、RADIUS アカウンティング (VPN 統合) データ インジェストエラーがあります。 | Defender for Identity の構成設定の共有シークレットが、Defender for Identity VPN 統合ページの「Defender for Identity での VPN の構成」章で説明されているガイダンスに従って、VPN サーバーと一致することを検証します。 | 低 | 正常性の問題のページ |