Udostępnij za pośrednictwem


problemy z kondycją Microsoft Defender for Identity

Strona Microsoft Defender for Identity Problemy z kondycją zawiera listę bieżących problemów z kondycją wdrożenia usługi Defender for Identity i czujników, ostrzegając o wszelkich problemach we wdrożeniu usługi Defender for Identity.

Strona Problemy z kondycją

Strona Microsoft Defender for Identity Problemy z kondycją informuje o problemie z obszarem roboczym usługi Defender for Identity przez zgłoszenie problemu z kondycją. Aby uzyskać dostęp do strony, wykonaj następujące kroki:

  1. W Microsoft Defender XDR w obszarze Tożsamości wybierz pozycję Problemy z kondycją.

  2. Zostanie wyświetlona strona Problemy z kondycją, na której można zobaczyć problemy z kondycją zarówno dla ogólnego środowiska usługi Defender for Identity, jak i określonych czujników.

    Usługa Defender for Identity obsługuje następujące typy alertów dotyczących kondycji:

    • Problemy z kondycją związane z domeną lub zagregowane, wymienione na karcie Globalne problemy z kondycją
    • Problemy z kondycją specyficzne dla czujnika wymienione na karcie Problemy z kondycją czujnika

    Filtruj problemy według stanu, nazwy problemu lub ważności, aby ułatwić znalezienie problemu, którego szukasz.

    Przykład:

    Zrzut ekranu przedstawiający stronę Problemy z kondycją.

  3. Wybierz dowolny problem, aby uzyskać więcej szczegółów i opcję zamknięcia lub pominięcia problemu. Przykład:

    Zrzut ekranu przedstawiający okienko szczegółów problemu z kondycją.

Problemy z kondycją

W tej sekcji opisano wszystkie problemy z kondycją każdego składnika, przedstawiając przyczynę i kroki potrzebne do rozwiązania problemu.

Problemy z kondycją specyficzne dla czujnika są wyświetlane na karcie Problemy z kondycją czujnika , a problemy z kondycją związane z domeną lub zagregowane są wyświetlane na karcie Globalne problemy z kondycją , jak opisano w następujących tabelach:

Niezgodność konfiguracji sieci dla czujników działających w programie VMware

Alert Opis Rozwiązanie Waga Wyświetlane w
Maszyny wirtualne, na których zainstalowano wymienione czujniki usługi Defender for Identity, mają niezgodność konfiguracji sieci. Ten problem może mieć wpływ na wydajność i niezawodność czujników. Przejrzyj ustawienia interfejsu sieciowego, w tym wyłączenie dużego odciążania wysyłania (LSO) i postępuj zgodnie z instrukcjami w tym miejscu. High (Wysoki) Karta Problemy z kondycją czujników

Kontroler domeny jest nieosiągalny przez czujnik

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity ma ograniczoną funkcjonalność z powodu problemów z łącznością ze skonfigurowanym kontrolerem domeny. Ma to wpływ na zdolność usługi Defender for Identity do wykrywania podejrzanych działań związanych z kontrolerami domeny monitorowanymi przez ten czujnik usługi Defender for Identity. Upewnij się, że kontrolery domeny są uruchomione i że ten czujnik usługi Defender for Identity może otwierać z nimi połączenia LDAP. Ponadto w obszarze Ustawienia upewnij się, że skonfigurowano konto usługi katalogowej dla każdego wdrożonego lasu. Średnie Karta Problemy z kondycją czujników

Wszystkie/niektóre karty sieciowe przechwytywania w czujniku nie są dostępne

Alert Opis Rozwiązanie Waga Wyświetlane w
Wszystkie/niektóre z wybranych kart sieciowych przechwytywania w czujniku Defender for Identity są wyłączone lub odłączone. Ruch sieciowy dla niektórych/wszystkich kontrolerów domeny nie jest już przechwytywany przez czujnik usługi Defender for Identity. Ten problem ma wpływ na możliwość wykrywania podejrzanych działań związanych z tymi kontrolerami domeny. Upewnij się, że te wybrane karty sieciowe przechwytywania w czujniku Defender for Identity są włączone i połączone. Średnie Karta Problemy z kondycją czujników

Poświadczenia użytkownika usług katalogowych są nieprawidłowe

Alert Opis Rozwiązanie Waga Wyświetlane w
Poświadczenia konta użytkownika usług katalogowych są nieprawidłowe. Ten problem ma wpływ na zdolność czujników do wykrywania działań przy użyciu zapytań LDAP względem kontrolerów domeny. — W przypadku standardowych kont usługi AD: sprawdź, czy nazwa użytkownika, hasło i domena na stronie konfiguracji usług katalogowych są poprawne.
— W przypadku kont usług zarządzanych przez grupę: sprawdź, czy nazwa użytkownika i domena na stronie konfiguracji usług katalogowych są poprawne. Sprawdź również wszystkie inne wymagania wstępne dotyczące konta usługi gMSA opisane na stronie rekomendacji dotyczących konta usługi katalogowej .
Średnie Karta Globalne problemy z kondycją

Niski wskaźnik powodzenia aktywnego rozpoznawania nazw

Alert Opis Rozwiązanie Waga Wyświetlane w
Wymienione czujniki usługi Defender for Identity nie rozpoznają adresów IP nazw urządzeń przez ponad 90% czasu przy użyciu następujących metod:
- NTLM przez RPC
-Netbios
— Odwrotny system DNS
Ma to wpływ na możliwości wykrywania usługi Defender for Identity i może zwiększyć liczbę alarmów fałszywie dodatnich. - W przypadku protokołu NTLM za pośrednictwem RPC: sprawdź, czy port 135 jest otwarty na potrzeby komunikacji przychodzącej z czujników usługi Defender for Identity na wszystkich komputerach w środowisku.
- W przypadku odwrotnego systemu DNS: sprawdź, czy czujniki mogą dotrzeć do serwera DNS i czy włączono strefy wyszukiwania wstecznego.
- W przypadku systemu NetBIOS: sprawdź, czy port 137 jest otwarty na potrzeby komunikacji przychodzącej z czujników usługi Defender for Identity na wszystkich komputerach w środowisku.
Ponadto upewnij się, że konfiguracja sieci (na przykład zapory) nie uniemożliwia komunikacji z odpowiednimi portami.
Niski Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Brak ruchu odebranego z kontrolera domeny

Alert Opis Rozwiązanie Waga Wyświetlane w
Nie odebrano żadnego ruchu z kontrolera domeny za pośrednictwem tego czujnika usługi Defender for Identity. Ten problem może wskazywać, że dublowanie portów z kontrolerów domeny do czujnika usługi Defender for Identity nie zostało jeszcze skonfigurowane lub nie działa. Sprawdź, czy dublowanie portów jest poprawnie skonfigurowane na urządzeniach sieciowych.

W karcie sieciowej przechwytywania czujnika usługi Defender for Identity wyłącz te funkcje w ustawieniach zaawansowanych:

Łączenie segmentu odbierania (IPv4)

Łączenie segmentu odbierania (IPv6)
Średnie Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Hasło użytkownika tylko do odczytu, które wkrótce wygaśnie

Alert Opis Rozwiązanie Waga Wyświetlane w
Hasło użytkownika tylko do odczytu używane do rozpoznawania jednostek względem usługi Active Directory wkrótce wygaśnie za mniej niż 30 dni. Jeśli hasło dla tego użytkownika wygaśnie, wszystkie czujniki usługi Defender for Identity przestaną działać i nie będą zbierane żadne nowe dane. Zmień hasło łączności z domeną, a następnie zaktualizuj hasło konta usługi katalogowej . Średnie Karta Globalne problemy z kondycją

Hasło użytkownika tylko do odczytu wygasło

Alert Opis Rozwiązanie Waga Wyświetlane w
Hasło użytkownika tylko do odczytu używane do pobierania danych katalogu wygasło. Wszystkie czujniki usługi Defender for Identity przestaną działać lub wkrótce przestaną działać i nie będą zbierane żadne nowe dane. Zmień hasło łączności z domeną, a następnie zaktualizuj hasło konta usługi katalogowej . High (Wysoki) Karta Globalne problemy z kondycją

Czujnik nieaktualny

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity jest nieaktualny. Czujnik usługi Defender for Identity korzysta z wersji, która nie może komunikować się z infrastrukturą chmury usługi Defender for Identity. Ręcznie zaktualizuj czujnik i sprawdź, dlaczego czujnik nie jest automatycznie aktualizowany. Jeśli ta opcja nie działa, pobierz najnowszy pakiet instalacyjny czujnika, odinstaluj i ponownie zainstaluj czujnik. Aby uzyskać więcej informacji, zobacz Pobieranie czujnika Microsoft Defender for Identity i Instalowanie czujnika Microsoft Defender for Identity. Średnie Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Czujnik osiągnął limit zasobów pamięci

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity zatrzymał się i automatycznie uruchamia ponownie, aby chronić kontroler domeny przed małą ilością pamięci. Czujnik usługi Defender for Identity wymusza ograniczenia pamięci, aby zapobiec ograniczeniom zasobów kontrolera domeny. Ten problem występuje, gdy użycie pamięci na kontrolerze domeny jest wysokie. Dane z tego kontrolera domeny są tylko częściowo monitorowane. Zwiększ ilość pamięci (RAM) na kontrolerze domeny lub dodaj więcej kontrolerów domeny w tej lokacji, aby lepiej rozłożyć obciążenie tego kontrolera domeny. Średnie Karta Problemy z kondycją czujników

Nie można uruchomić usługi czujnika

Alert Opis Rozwiązanie Waga Wyświetlane w
Nie można uruchomić usługi czujnika Defender for Identity przez co najmniej 30 minut. Ten problem może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny, które są monitorowane przez ten czujnik usługi Defender for Identity. Monitoruj dzienniki czujnika usługi Defender for Identity, aby zrozumieć główną przyczynę niepowodzenia usługi czujnika usługi Defender for Identity. High (Wysoki) Karta Problemy z kondycją czujników

Czujnik przestał komunikować się

Alert Opis Rozwiązanie Waga Wyświetlane w
Nie było komunikacji z czujnika usługi Defender for Identity. Domyślny przedział czasu dla tego alertu to 5 minut. Oznacza to, że czujnik nie może wysłać danych lub sygnału utrzymywania aktywności do usług Defender for Identity przez okres przekraczający dozwolony czas. Zwykle sugeruje to problem z siecią w środowisku, który uniemożliwił transmisję danych, lub ponowne uruchomienie serwera, które trwało dłużej niż akceptowalny okres, co wpływa na możliwość wykrywania podejrzanych działań w usłudze Defender for Identity. Sprawdź, czy komunikacja między czujnikiem usługi Defender for Identity i usługą w chmurze Defender for Identity nie jest blokowana przez żadne routery ani zapory. Średnie Karta Problemy z kondycją czujników

Niektóre zdarzenia systemu Windows nie są analizowane

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity odbiera więcej zdarzeń, niż może przetwarzać. Niektóre zdarzenia systemu Windows nie są analizowane. Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. Rozważ dodanie większej liczby procesorów i pamięci zgodnie z wymaganiami. Jeśli używasz autonomicznego czujnika usługi Defender for Identity, sprawdź, czy do czujnika są przekazywane tylko wymagane zdarzenia. Możesz też spróbować przekazać niektóre zdarzenia do innego czujnika usługi Defender for Identity. Średnie Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Nie można przeanalizować niektórych ruchów sieciowych

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity odbiera większy ruch sieciowy niż może przetwarzać. Nie można przeanalizować niektórych ruchów sieciowych. Ten problem może mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. Rozważ dodanie większej liczby procesorów i pamięci zgodnie z wymaganiami. Jeśli używasz autonomicznego czujnika usługi Defender for Identity, zmniejsz liczbę monitorowanych kontrolerów domeny.

Ten problem może również wystąpić, jeśli używasz kontrolerów domeny na maszynach wirtualnych VMware. Aby uniknąć tych problemów, możesz sprawdzić, czy następujące ustawienia są ustawione na wartość 0 lub Wyłączone na maszynie wirtualnej (w systemie operacyjnym Windows, a nie w ustawieniach programu VMware):

- Duże odciążanie wysyłania w wersji 2 (IPv4)

- Odciążanie logowania jednokrotnego IPv4

Nazwy mogą się różnić w zależności od wersji programu VMware. Aby uzyskać więcej informacji, zobacz dokumentację programu VMware.
Średnie Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Niektóre zdarzenia ETW nie są analizowane

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity odbiera więcej zdarzeń śledzenia zdarzeń systemu Windows (ETW), niż może przetwarzać. Niektóre zdarzenia śledzenia zdarzeń systemu Windows (ETW) nie są analizowane. Może to mieć wpływ na możliwość wykrywania podejrzanych działań pochodzących z kontrolerów domeny monitorowanych przez ten czujnik usługi Defender for Identity. Rozważ dodanie większej liczby procesorów i pamięci zgodnie z wymaganiami. Średnie Karta Problemy z kondycją czujników i karta Globalne problemy zdrowotne

Czujnik działający w systemie operacyjnym, który wkrótce stanie się nieobsługiwany

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity działa w systemie operacyjnym, który wkrótce stanie się nieobsługiwany. Windows Server 2012 i 2012 R2 osiągnęły koniec wsparcia 10 października 2023 r. Więcej szczegółów można znaleźć na stronie: https://aka.ms/mdi/oseos System operacyjny na serwerze powinien zostać uaktualniony do najnowszego obsługiwanego systemu operacyjnego. Aby uzyskać więcej informacji, zobacz: https://aka.ms/mdi/os Średnie Karta Problemy z kondycją czujników

Czujnik działający w nieobsługiwanym systemie operacyjnym

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity działa w nieobsługiwanym systemie operacyjnym. Windows Server 2012 i 2012 R2 osiągnęły koniec wsparcia 10 października 2023 r. Więcej szczegółów można znaleźć na stronie: https://aka.ms/mdi/oseos System operacyjny na serwerze powinien zostać uaktualniony do najnowszego obsługiwanego systemu operacyjnego. Aby uzyskać więcej informacji, zobacz: https://aka.ms/mdi/os High (Wysoki) Karta Problemy z kondycją czujników

Czujnik ma problemy ze składnikiem przechwytywania pakietów

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik usługi Defender for Identity używa sterowników WinPcap zamiast sterowników Npcap. Wszyscy klienci powinni używać sterowników Npcap zamiast sterowników WinPcap. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje program Npcap 1.0 OEM. Zainstaluj narzędzie Npcap zgodnie ze wskazówkami opisanymi w artykule: https://aka.ms/mdi/npcap High (Wysoki) Karta Problemy z kondycją czujników
Czujnik usługi Defender for Identity korzysta z wersji npcap starszej niż minimalna wymagana wersja. Minimalna obsługiwana wersja platformy Npcap to 1.0. Począwszy od usługi Defender for Identity w wersji 2.184, pakiet instalacyjny instaluje program Npcap 1.0 OEM. Uaktualnij narzędzie Npcap zgodnie ze wskazówkami opisanymi w artykule: https://aka.ms/mdi/npcap Średnie Karta Problemy z kondycją czujników
Czujnik usługi Defender for Identity uruchamia składnik Npcap, który nie jest skonfigurowany zgodnie z wymaganiami. W instalacji narzędzia Npcap brakuje wymaganych opcji konfiguracji. Zainstaluj narzędzie Npcap zgodnie ze wskazówkami opisanymi w artykule: https://aka.ms/mdi/npcap High (Wysoki) Karta Problemy z kondycją czujników

Inspekcja NTLM nie jest włączona

Alert Opis Rozwiązanie Waga Wyświetlane w
Inspekcja NTLM nie jest włączona. Inspekcja NTLM (dla zdarzenia o identyfikatorze 8004) nie jest włączona na serwerze. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). Włącz zdarzenia inspekcji NTLM zgodnie ze wskazówkami opisanymi w sekcji Identyfikator zdarzenia 8004 na stronie Konfigurowanie zdarzeń systemu Windows . Średnie Karta Problemy z kondycją czujników

Zaawansowane inspekcje usług katalogowych nie są włączone zgodnie z wymaganiami

Alert Opis Rozwiązanie Waga Wyświetlane w
Zaawansowane inspekcje usług katalogowych nie są włączone zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). Konfiguracja zaawansowanego inspekcji usług katalogowych nie obejmuje wszystkich kategorii i podkategorii zgodnie z wymaganiami. Włącz zdarzenia zaawansowanego inspekcji usług katalogowych. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows. Średnie Karta Problemy z kondycją czujników

Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami

Alert Opis Rozwiązanie Waga Wyświetlane w
Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). Konfiguracja inspekcji obiektów usług katalogowych nie obejmuje wszystkich typów obiektów i uprawnień zgodnie z wymaganiami. Włącz zdarzenia inspekcji obiektów usług katalogowych zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie inspekcji obiektów domeny na stronie Konfigurowanie zdarzeń systemu Windows . Średnie Karta Globalne problemy z kondycją

Inspekcja kontenera konfiguracji nie jest włączona zgodnie z wymaganiami

Alert Opis Rozwiązanie Waga Wyświetlane w
Inspekcja kontenera konfiguracji nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). Inspekcja usług katalogowych w kontenerze konfiguracji domeny nie jest włączona zgodnie z wymaganiami. Włącz inspekcję usług katalogowych w kontenerze Konfiguracja domeny zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie zasad inspekcji na stronie Konfigurowanie zdarzeń systemu Windows . Średnie Karta Globalne problemy z kondycją

Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami

Alert Opis Rozwiązanie Waga Wyświetlane w
Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na domenę). Inspekcja usług katalogowych w kontenerze usług AD FS nie jest włączona zgodnie z wymaganiami. Włącz inspekcję usług katalogowych w kontenerze usług AD FS zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie inspekcji w Active Directory Federation Services (AD FS) na stronie Konfigurowanie zdarzeń systemu Windows. Średnie Karta Globalne problemy z kondycją

Tryb zasilania nie jest skonfigurowany pod kątem optymalnej wydajności procesora

Alert Opis Rozwiązanie Waga Wyświetlane w
Tryb zasilania nie jest skonfigurowany pod kątem optymalnej wydajności procesora. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). Tryb zasilania systemu operacyjnego nie jest skonfigurowany do optymalnych ustawień wydajności procesora. Ten problem może mieć wpływ na wydajność serwera i zdolność czujników do wykrywania podejrzanych działań. Wykonaj jeden z następujących kroków:

- Skonfiguruj opcję zasilania maszyny z uruchomionym czujnikiem usługi Defender for Identity do wysokiej wydajności
— Ustaw minimalny i maksymalny stan procesora na 100

Aby uzyskać więcej informacji, zobacz sekcję Wymagania dotyczące czujników i zalecenia na stronie wymagań wstępnych usługi Defender for Identity .
Niski Karta Problemy z kondycją czujników

Czujnik nie może zapisać w niestandardowej ścieżce dziennika

Alert Opis Rozwiązanie Waga Wyświetlane w
Czujnik nie może zapisać do niestandardowej ścieżki dziennika. Nie można utworzyć niestandardowej ścieżki dziennika udostępnionej w konfiguracji czujnika. 1. Zatrzymaj AATPSensorUpdater usługi i AATPSensor .
2. Zmień SensorCustomLogLocation plik konfiguracji czujnika na prawidłową ścieżkę lub ustaw ją na wartość null.
3. Uruchom AATPSensorUpdater ponownie usługi i AATPSensor .
Niski Karta Problemy z kondycją czujników

Błędy pozyskiwania danych w usłudze Radius (integracja z siecią VPN)

Alert Opis Rozwiązanie Waga Wyświetlane w
Błędy pozyskiwania danych w usłudze Radius (integracja z siecią VPN). Wymienione czujniki usługi Defender for Identity mają błędy pozyskiwania danych na potrzeby rozliczania promienia (integracja z siecią VPN). Sprawdź, czy wspólny wpis tajny w ustawieniach konfiguracji usługi Defender for Identity jest zgodny z serwerem sieci VPN, zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie sieci VPN w usłudze Defender for Identity na stronie integracji sieci VPN usługi Defender for Identity . Niski Strona Problemy z kondycją

Inspekcja dla serwerów usługi AD CS nie jest włączona zgodnie z wymaganiami

Alert Opis Rozwiązanie Waga Wyświetlane w
Inspekcja dla serwerów usługi AD CS nie jest włączona zgodnie z wymaganiami. (Ta konfiguracja jest weryfikowana raz dziennie na czujnik). Konfiguracja zaawansowanych zasad inspekcji lub inspekcja usługi AD CS nie jest włączona zgodnie z wymaganiami. Włącz inspekcję zaawansowanej konfiguracji zasad inspekcji i inspekcji usług AD CS zgodnie ze wskazówkami opisanymi w sekcji Konfigurowanie inspekcji w usłudze AD CS na stronie Konfigurowanie zdarzeń systemu Windows . Średnie Karta Problemy z kondycją czujników

Nie można pobrać konfiguracji usługi Microsoft Entra Connect z czujnika

Alert Opis Rozwiązanie Waga Wyświetlane w
Nie można pobrać konfiguracji usługi Microsoft Entra Connect Czujnik nie może pobrać konfiguracji z usługi Microsoft Entra Connect (znanej również jako synchronizacja Microsoft Azure AD). Upewnij się, że usługa Microsoft Entra Connect (Microsoft Azure AD Sync) jest uruchomiona i postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień dla bazy danych programu Microsoft Entra Connect (ADSync), aby udzielić czujnikowi niezbędnych uprawnień. Jeśli problem będzie się powtarzać, postępuj zgodnie ze wskazówkami dotyczącymi rozwiązywania problemów z łącznością SQL z programem Microsoft Entra Connect. Średnie Karta Problemy z kondycją czujników

Następne kroki