센서 상태 경고 Microsoft Defender for Identity
참고
이 페이지에서 설명하는 환경은 https://security.microsoft.com에서 Microsoft 365 Defender의 일부로 액세스할 수 있습니다.
상태 문제 페이지
Microsoft Defender for Identity 상태 문제 페이지에서는 상태 경고를 발생시켜 Defender for Identity 인스턴스에 문제가 있는 경우를 알 수 있습니다. 페이지에 액세스하려면 다음 단계를 수행합니다.
Microsoft 365 Defender설정으로 이동한 다음 ID로 이동합니다.
일반에서 상태 문제를 선택합니다.
상태 문제 페이지가 표시됩니다. 여기서 열기, 닫힘 및 억제된 상태 문제가 표시됩니다.
자세한 내용을 보려면 문제를 선택하고 문제를 닫거나 표시하지 않는 옵션을 선택합니다.
참고
센서 관련 상태 경고는 센서 설정 페이지에서도 찾을 수 있습니다.
상태 경고
이 섹션에서는 각 구성 요소에 대한 모든 상태 경고에 대해 설명하며, 문제를 해결하는 데 필요한 원인 및 단계를 나열합니다.
센서가 모든 도메인 컨트롤러에 연결할 수 없습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 구성된 모든 도메인 컨트롤러에 대한 연결 문제로 인해 현재 오프라인 상태입니다. | 이는 Defender for Identity 센서에서 모니터링하는 도메인 컨트롤러와 관련된 의심스러운 활동을 검색하는 Defender for Identity 기능에 영향을 줍니다. | 도메인 컨트롤러가 실행 중이고 이 Defender for Identity 센서가 LDAP 연결을 열 수 있는지 확인합니다. 또한 설정 에서 배포된 모든 포리스트에 대해 디렉터리 서비스 계정을 구성해야 합니다. | 중간 | 센서 설정 페이지 |
센서의 캡처 네트워크 어댑터를 모두/일부 사용할 수 없습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서에서 선택한 캡처 네트워크 어댑터 중 일부가 비활성화되거나 연결이 끊어집니다. | 일부/모든 도메인 컨트롤러에 대한 네트워크 트래픽은 더 이상 Defender for Identity 센서에 의해 캡처되지 않습니다. 이 경우 해당 도메인 컨트롤러와 관련된 의심스러운 활동을 탐지하는 기능에 영향을 줍니다. | Defender for Identity 센서에서 선택한 캡처 네트워크 어댑터가 사용하도록 설정되고 연결되어 있는지 확인합니다. | 중간 | 센서 설정 페이지 |
디렉터리 서비스 사용자 자격 증명이 올바르지 않습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 디렉터리 서비스 사용자 계정에 대한 자격 증명이 올바르지 않습니다. | 이는 도메인 컨트롤러에 대한 LDAP 쿼리를 사용하여 활동을 탐지하는 센서 기능에 영향을 줍니다. | - 표준 AD 계정인 경우: 디렉터리 서비스 구성 페이지의 사용자 이름, 암호 및 도메인이 올바른지 확인합니다. - 그룹 관리 서비스 계정인 경우: 디렉터리 서비스 구성 페이지의 사용자 이름 및 도메인이 올바른지 확인합니다. 또한 디렉터리 서비스 계정 권장 사항 페이지에 설명된 다른 모든 gMSA 계정 필수 구성 요소를 확인합니다. |
중간 | 상태 문제 페이지 |
활성 이름 확인의 성공률이 낮습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 나열된 Defender for Identity 센서는 다음 방법을 사용하여 디바이스 이름에 대한 IP 주소를 90% 이상 확인하는 데 실패합니다. - NTLM over RPC - NetBIOS - 역방향 DNS |
이는 Defender for Identity의 검색 기능에 영향을 미치며 가양성 경보의 수를 늘릴 수 있습니다. | - RPC를 통한 NTLM의 경우: 환경의 모든 컴퓨터에서 Defender for Identity 센서의 인바운드 통신을 위해 포트 135가 열려 있는지 확인합니다. - 역방향 DNS: 센서가 DNS 서버에 연결할 수 있으며 역방향 조회 영역을 사용 설정되어 있는지 확인합니다. - NetBIOS의 경우: 환경의 모든 컴퓨터에서 Defender for Identity 센서의 인바운드 통신을 위해 포트 137이 열려 있는지 확인합니다. 또한 네트워크 구성(예: 방화벽)이 관련 포트에 대한 통신을 차단하지 않는지 확인합니다. |
낮음 | 센서 설정 페이지 및 상태 문제 페이지 |
도메인 컨트롤러에서 받은 트래픽이 없음
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 이 Defender for Identity 센서를 통해 도메인 컨트롤러에서 트래픽이 수신되지 않았습니다. | 이는 도메인 컨트롤러에서 Defender for Identity 센서로의 포트 미러링이 아직 구성되지 않았거나 작동하지 않음을 나타낼 수 있습니다. | 네트워크 디바이스에 포트 미러링이 제대로 구성되어 있지 않음을 확인합니다. Defender for Identity 센서 캡처 NIC에서 고급 설정에서 다음 기능을 사용하지 않도록 설정합니다. 수신 세그먼트 병합(IPv4) 수신 세그먼트 병합(IPv6) |
중간 | 센서 설정 페이지 및 상태 문제 페이지 |
읽기 전용 사용자 암호가 곧 만료됨
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Active Directory에 대해 엔터티 확인을 수행하는 데 사용되는 읽기 전용 사용자 암호가 30일 이내에 만료됩니다. | 이 사용자의 암호가 만료되면 모든 Defender for Identity 센서의 실행이 중지되고 새 데이터가 수집되지 않습니다. | 도메인 연결 암호를 변경한 다음 디렉터리 서비스 계정 암호를 업데이트 합니다. | 중간 | 상태 문제 페이지 |
읽기 전용 사용자 암호 만료됨
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| 디렉터리 데이터를 가져오는 데 사용되는 읽기 전용 사용자 암호가 만료되었습니다. | 모든 Defender for Identity 센서의 실행이 중지되거나 곧 실행이 중지되며 새 데이터가 수집되지 않습니다. | 도메인 연결 암호를 변경한 다음 디렉터리 서비스 계정 암호를 업데이트 합니다. | 높음 | 상태 문제 페이지 |
센서가 만료되었습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서가 오래되었습니다. | Defender for Identity 센서는 Defender for Identity 클라우드 인프라와 통신할 수 없는 버전을 실행하고 있습니다. | 센서를 수동으로 업데이트하고 센서가 자동으로 업데이트되지 않는 이유를 확인합니다. 그래도 작동하지 않으면 최신 센서 설치 패키지를 다운로드하고 센서를 제거한 후에 다시 설치합니다. 자세한 내용은 Microsoft Defender for Identity 센서 다운로드 및 Microsoft Defender for Identity 센서 설치를 참조하세요. | 중간 | 센서 설정 페이지 및 상태 문제 페이지 |
센서에서 메모리 리소스 제한에 도달했습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 자체적으로 중지되고 자동으로 다시 시작하여 메모리 부족 상태에서 도메인 컨트롤러를 보호합니다. | Defender for Identity 센서는 도메인 컨트롤러에 리소스 제한이 발생하지 않도록 메모리 제한을 자체에 적용합니다. 이 문제는 도메인 컨트롤러의 메모리 사용량이 많은 경우에 발생합니다. 이 도메인 컨트롤러의 데이터가 부분적으로만 모니터링됩니다. | 도메인 컨트롤러의 메모리(RAM) 양을 늘리거나, 이 사이트에 도메인 컨트롤러를 추가하여 이 도메인 컨트롤러의 부하를 보다 효율적으로 분산합니다. | 중형 | 센서 설정 페이지 |
센서 서비스에서 시작하지 못했습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서 서비스를 30분 이상 시작하지 못했습니다. | 이는 이 Defender for Identity 센서에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 미칠 수 있습니다. | Defender for Identity 센서 로그를 모니터링하여 Defender for Identity 센서 서비스 오류의 근본 원인을 파악합니다. | 높음 | 센서 설정 페이지 |
센서에서 통신을 중지했습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서의 통신이 없습니다. 이 경고에 대한 기본 시간 범위는 5분입니다. | 네트워크 트래픽은 더 이상 Defender for Identity 센서의 네트워크 어댑터에 의해 캡처되지 않습니다. 이는 네트워크 트래픽이 Defender for Identity 클라우드 서비스에 연결할 수 없으므로 의심스러운 활동을 검색하는 Defender for Identity의 기능에 영향을 줍니다. | Defender for Identity 센서와 Defender for Identity 클라우드 서비스 간의 통신에 사용되는 포트가 라우터 또는 방화벽에 의해 차단되지 않는지 확인합니다. | 중간 | 센서 설정 페이지 |
센서가 일부 도메인 컨트롤러에 연결할 수 없습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서에는 구성된 도메인 컨트롤러 중 일부에 대한 연결 문제로 인해 기능이 제한됩니다. | Defender for Identity 센서에서 일부 도메인 컨트롤러를 쿼리할 수 없는 경우 해시 검색 전달이 덜 정확할 수 있습니다. | 도메인 컨트롤러가 실행 중이고 이 Defender for Identity 센서가 LDAP 연결을 열 수 있는지 확인합니다. | 중간 | 센서 설정 페이지 |
일부 Windows 이벤트가 분석되고 있지 않음
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 이벤트를 수신하고 있습니다. | 일부 Windows 이벤트는 분석되지 않으므로 이 Defender for Identity 센서에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. | 필요한 이벤트만 Defender for Identity 센서에 전달되는지 확인하거나 일부 이벤트를 다른 Defender for Identity 센서로 전달합니다. | 중간 | 센서 설정 페이지 및 상태 문제 페이지 |
일부 네트워크 트래픽을 분석할 수 없습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 네트워크 트래픽을 수신하고 있습니다. | 일부 네트워크 트래픽을 분석할 수 없으므로 이 Defender for Identity 센서에서 모니터링되는 도메인 컨트롤러에서 발생한 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. | 필요에 따라 프로세서 및 메모리 추가를 고려합니다. 독립 실행형 Defender for Identity 센서인 경우 모니터링되는 도메인 컨트롤러 수를 줄입니다. 이 경고는 VMware 가상 머신에서 도메인 컨트롤러를 사용하는 경우에도 발생할 수 있습니다. 이러한 경고를 방지하기 위해 가상 머신에서 다음 설정이 0 또는 사용 안 함으로 설정되어 있는지 확인하세요. - TsoEnable - LargeSendOffload(IPv4) - IPv4 TSO Offload IPv4 Giant TSO Offload도 사용하지 않도록 설정하는 것이 좋습니다. 자세한 내용은 VMware 설명서를 참조하세요. |
중형 | 센서 설정 페이지 및 상태 문제 페이지 |
일부 ETW 이벤트가 분석되고 있지 않음
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 처리할 수 있는 것보다 더 많은 ETW(Windows용 이벤트 추적) 이벤트를 수신하고 있습니다. | 일부 ETW(Windows용 이벤트 추적) 이벤트는 분석되지 않으므로 이 Defender for Identity 센서에서 모니터링되는 도메인 컨트롤러에서 발생하는 의심스러운 활동을 검색하는 기능에 영향을 줄 수 있습니다. | 크기 조정 도구에 따라 센서 머신의 크기가 올바르게 조정되었는지 확인합니다. 올바르게 조정된 경우 고객 지원팀에 문의하세요. | 중형 | 센서 설정 페이지 및 상태 문제 페이지 |
Windows Server 2008 R2를 사용하는 센서: 곧 지원되지 않습니다.
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 Windows 2008 R2에서 실행 중이며 곧 지원되지 않습니다. | 2022년 6월 15일부터 Microsoft는 Windows Server 2008 R2를 실행하는 디바이스에서 더 이상 Defender for Identity 센서를 지원하지 않습니다. 자세한 내용은 다음에서 확인할 수 있습니다. https://aka.ms/mdi/2008r2 | 이 도메인 컨트롤러의 운영 체제를 Windows Server 2012 이상으로 업그레이드합니다. | 보통(2022년 6월 1일부터 이 상태 경고의 심각도가 높음) | 센서 설정 페이지 |
Windows Server 2008 R2를 사용하는 센서: 지원되지 않음
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 지원되지 않는 Windows 2008 R2에서 실행됩니다. | 2022년 6월 15일부터 Microsoft는 Windows Server 2008 R2를 실행하는 디바이스에서 더 이상 Defender for Identity 센서를 지원하지 않습니다. 자세한 내용은 https://aka.ms/mdi/2008r2에서 확인할 수 있습니다. | 이 도메인 컨트롤러의 운영 체제를 Windows Server 2012 이상으로 업그레이드합니다. | 높음 | 센서 설정 페이지 |
센서에 패킷 캡처 구성 요소에 문제가 있음
| 경고 | Description | 해결 방법 | 심각도 | 에 표시됨 |
|---|---|---|---|---|
| Defender for Identity 센서는 Npcap 드라이버 대신 WinPcap 드라이버를 사용합니다. | 모든 고객은 WinPcap 드라이버 대신 Npcap 드라이버를 사용하는 것이 좋습니다. Defender for Identity 버전 2.184부터 설치 패키지는 WinPcap 4.1.3 드라이버 대신 Npcap 1.0 OEM을 설치합니다. | 다음에 설명된 대로 지침에 따라 Npcap을 설치합니다. https://aka.ms/mdi/npcap | 낮음 | 센서 설정 페이지 |
| Defender for Identity 센서는 필요한 최소 버전보다 오래된 Npcap 버전을 실행합니다. | 모든 고객은 WinPcap 드라이버 대신 Npcap 드라이버를 사용하는 것이 좋습니다. Defender for Identity 버전 2.184부터 설치 패키지는 WinPcap 4.1.3 드라이버 대신 Npcap 1.0 OEM을 설치합니다. | 다음에 설명된 지침에 따라 Npcap을 업그레이드합니다. https://aka.ms/mdi/npcap | 중간 | 센서 설정 페이지 |
| Defender for Identity 센서는 필요에 따라 구성되지 않은 Npcap 구성 요소를 실행하고 있습니다. | 모든 고객은 WinPcap 드라이버 대신 Npcap 드라이버를 사용하는 것이 좋습니다. Defender for Identity 버전 2.184부터 설치 패키지는 WinPcap 4.1.3 드라이버 대신 Npcap 1.0 OEM을 설치합니다. | 다음에 설명된 대로 지침에 따라 Npcap을 설치합니다. https://aka.ms/mdi/npcap | 높음 | 센서 설정 페이지 |