Microsoft Defender pour Identity problèmes d’intégrité
La page Problèmes d’intégrité Microsoft Defender pour Identity répertorie tous les problèmes d’intégrité actuels pour votre déploiement et vos capteurs Defender pour Identity, en vous alertant des éventuels problèmes dans votre déploiement de Defender pour Identity.
Page Problèmes d’intégrité
La page problèmes d’intégrité Microsoft Defender pour Identity vous permet de savoir quand il y a un problème avec votre espace de travail Defender pour Identity, en soulevant un problème d’intégrité. Pour accéder à la page, procédez comme suit :
Dans Microsoft Defender XDR, sous Identités, sélectionnez Problèmes d’intégrité.
La page Problèmes d’intégrité s’affiche, où vous pouvez voir les problèmes d’intégrité de votre environnement Defender pour Identity général et des capteurs spécifiques.
Defender pour Identity prend en charge les types d’alertes d’intégrité suivants :
- Problèmes d’intégrité liés au domaine ou agrégés, répertoriés sous l’onglet Problèmes d’intégrité globaux
- Problèmes d’intégrité spécifiques aux capteurs, répertoriés sous l’onglet Problèmes d’intégrité du capteur
Filtrez les problèmes par status, nom du problème ou gravité pour vous aider à trouver le problème que vous recherchez.
Par exemple :
Sélectionnez n’importe quel problème pour plus d’informations et l’option permettant de fermer ou de supprimer le problème. Par exemple :
Problèmes d’intégrité
Cette section décrit tous les problèmes d’intégrité pour chaque composant, en listant la cause et les étapes nécessaires pour résoudre le problème.
Les problèmes d’intégrité spécifiques aux capteurs sont affichés sous l’onglet Problèmes d’intégrité du capteur et les problèmes d’intégrité liés au domaine ou agrégés sont affichés dans l’onglet Problèmes d’intégrité globaux , comme indiqué dans les tableaux suivants :
Un contrôleur de domaine est inaccessible par un capteur
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity a des fonctionnalités limitées en raison de problèmes de connectivité au contrôleur de domaine configuré. | Cela affecte la capacité de Defender pour Identity à détecter les activités suspectes liées aux contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Assurez-vous que les contrôleurs de domaine sont opérationnels et que ce capteur Defender pour Identity peut leur ouvrir des connexions LDAP. En outre, dans Paramètres , veillez à configurer un compte de service d’annuaire pour chaque forêt déployée. | Moyen | Onglet Problèmes d’intégrité des capteurs |
Toutes/certaines des cartes réseau de capture sur un capteur ne sont pas disponibles
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Toutes les cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont désactivées ou déconnectées. | Le trafic réseau pour une partie ou l’ensemble des contrôleurs de domaine n’est plus capturé par le capteur Defender pour Identity. Ce problème affecte la capacité à détecter les activités suspectes liées à ces contrôleurs de domaine. | Assurez-vous que ces cartes réseau de capture sélectionnées sur le capteur Defender pour Identity sont activées et connectées. | Moyen | Onglet Problèmes d’intégrité des capteurs |
Les informations d’identification utilisateur des services d’annuaire sont incorrectes
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Les informations d’identification du compte d’utilisateur des services d’annuaire sont incorrectes. | Ce problème affecte la capacité des capteurs à détecter les activités à l’aide de requêtes LDAP sur des contrôleurs de domaine. | - Pour un compte AD standard : vérifiez que le nom d’utilisateur, le mot de passe et le domaine dans la page de configuration des services d’annuaire sont corrects. - Pour les comptes de service gérés de groupe : vérifiez que le nom d’utilisateur et le domaine dans la page de configuration des services d’annuaire sont corrects. En outre, case activée tous les autres prérequis du compte gMSA décrits dans la page Recommandations relatives aux comptes de service d’annuaire. |
Moyen | Onglet Problèmes d’intégrité globaux |
Faible taux de réussite de la résolution de noms active
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Les capteurs Defender pour Identity répertoriés ne parviennent pas à résoudre les adresses IP en noms d’appareils plus de 90 % du temps à l’aide des méthodes suivantes : - NTLM sur RPC -Netbios - DNS inversé |
Cela affecte les fonctionnalités de détection de Defender pour Identity et peut augmenter le nombre de fausses alarmes positives. | - Pour NTLM sur RPC : vérifiez que le port 135 est ouvert pour les communications entrantes à partir des capteurs Defender pour Identity sur tous les ordinateurs de l’environnement. - Pour le DNS inversé : vérifiez que les capteurs peuvent atteindre le serveur DNS et que les zones de recherche inversée sont activées. - Pour NetBIOS : vérifiez que le port 137 est ouvert pour les communications entrantes à partir des capteurs Defender pour Identity sur tous les ordinateurs de l’environnement. En outre, assurez-vous que la configuration réseau (par exemple, les pare-feu) n’empêche pas la communication vers les ports appropriés. |
Faible | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Aucun trafic reçu du contrôleur de domaine
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Aucun trafic n’a été reçu du contrôleur de domaine via ce capteur Defender pour Identity. | Ce problème peut indiquer que la mise en miroir de ports des contrôleurs de domaine vers le capteur Defender pour Identity n’est pas encore configurée ou ne fonctionne pas. | Vérifiez que la mise en miroir de ports est correctement configurée sur vos appareils réseau. Sur la carte réseau de capture du capteur Defender pour Identity, désactivez ces fonctionnalités dans Paramètres avancés : Fusion de segments de réception (IPv4) Fusion de segments de réception (IPv6) |
Moyen | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Le mot de passe utilisateur en lecture seule doit expirer sous peu
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le mot de passe utilisateur en lecture seule, utilisé pour effectuer la résolution des entités sur Active Directory, est sur le point d’expirer dans moins de 30 jours. | Si le mot de passe de cet utilisateur expire, tous les capteurs Defender pour Identity cessent de s’exécuter et aucune nouvelle donnée n’est collectée. | Modifiez le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe du compte de service d’annuaire . | Moyen | Onglet Problèmes d’intégrité globaux |
Le mot de passe utilisateur en lecture seule a expiré
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le mot de passe utilisateur en lecture seule, utilisé pour obtenir des données d’annuaire, a expiré. | Tous les capteurs Defender pour Identity cessent de s’exécuter, ou cesseront de s’exécuter bientôt, et aucune nouvelle donnée n’est collectée. | Modifiez le mot de passe de connectivité de domaine, puis mettez à jour le mot de passe du compte de service d’annuaire . | Élevé | Onglet Problèmes d’intégrité globaux |
Capteur obsolète
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Un capteur Defender pour Identity est obsolète. | Un capteur Defender pour Identity exécute une version qui ne peut pas communiquer avec l’infrastructure cloud Defender pour Identity. | Mettez à jour manuellement le capteur et case activée pour voir pourquoi le capteur ne se met pas automatiquement à jour. Si cette option ne fonctionne pas, téléchargez le dernier package d’installation du capteur, puis désinstallez et réinstallez le capteur. Pour plus d’informations, consultez Télécharger le capteur Microsoft Defender pour Identity et Installer le capteur Microsoft Defender pour Identity. | Moyen | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Le capteur a atteint une limite de ressources mémoire
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’est arrêté et redémarre automatiquement pour protéger le contrôleur de domaine contre une insuffisance de mémoire. | Le capteur Defender pour Identity applique des limitations de mémoire sur lui-même pour empêcher le contrôleur de domaine de rencontrer des limitations de ressources. Ce problème se produit lorsque l’utilisation de la mémoire sur le contrôleur de domaine est élevée. Les données de ce contrôleur de domaine ne sont que partiellement surveillées. | Augmentez la quantité de mémoire (RAM) sur le contrôleur de domaine ou ajoutez d’autres contrôleurs de domaine dans ce site pour mieux répartir la charge de ce contrôleur de domaine. | Moyen | Onglet Problèmes d’intégrité des capteurs |
Échec du démarrage du service de capteur
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le service de capteur Defender pour Identity n’a pas pu démarrer pendant au moins 30 minutes. | Ce problème peut affecter la capacité à détecter les activités suspectes provenant de contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Surveillez les journaux du capteur Defender pour Identity pour comprendre la cause racine de l’échec du service de capteur Defender pour Identity. | Élevé | Onglet Problèmes d’intégrité des capteurs |
Le capteur a cessé de communiquer
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Il n’y a pas eu de communication à partir du capteur Defender pour Identity. L’intervalle de temps par défaut pour cette alerte est de 5 minutes. | Cela indique que le capteur n’a pas pu envoyer de données ou de signal de maintien en vie aux services Defender pour Identity pendant une période dépassant la durée autorisée. Cela suggère généralement un problème réseau dans l’environnement qui a empêché la transmission de données ou un redémarrage du serveur qui a pris plus de temps que le délai acceptable, impactant la capacité de Defender pour Identity à détecter les activités suspectes. | Vérifiez que la communication entre le capteur Defender pour Identity et le service cloud Defender pour Identity n’est bloquée par aucun routeur ou pare-feu. | Moyen | Onglet Problèmes d’intégrité des capteurs |
Certains événements Windows ne sont pas analysés
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus d’événements qu’il ne peut en traiter. | Certains événements Windows ne sont pas analysés. Cela peut affecter la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter davantage de processeurs et de mémoire en fonction des besoins. Si vous utilisez un capteur Defender pour Identity autonome, vérifiez que seuls les événements requis sont transférés au capteur. Ou essayez de transférer certains événements à un autre capteur Defender pour Identity. | Moyen | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Une partie du trafic réseau n’a pas pu être analysée
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus de trafic réseau qu’il ne peut en traiter. | Une partie du trafic réseau n’a pas pu être analysée. Ce problème peut affecter la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter davantage de processeurs et de mémoire en fonction des besoins. Si vous utilisez un capteur Defender pour Identity autonome, réduisez le nombre de contrôleurs de domaine surveillés. Ce problème peut également se produire si vous utilisez des contrôleurs de domaine sur des machines virtuelles VMware. Pour éviter ces problèmes, vous pouvez case activée que les paramètres suivants sont définis sur 0 ou Désactivés sur la machine virtuelle (dans le système d’exploitation Windows, et non dans les paramètres VMware) : - Déchargement d’envoi volumineux V2 (IPv4) - Déchargement de l’authentification TSO IPv4 Les noms peuvent varier en fonction de votre version de VMware. Pour plus d’informations, consultez votre documentation VMware. |
Moyen | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Certains événements ETW ne sont pas analysés
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity reçoit plus d’événements de suivi d’événements pour Windows (ETW) qu’il ne peut en traiter. | Certains événements de suivi d’événements pour Windows (ETW) ne sont pas analysés. Cela peut affecter la capacité à détecter les activités suspectes provenant des contrôleurs de domaine surveillés par ce capteur Defender pour Identity. | Envisagez d’ajouter davantage de processeurs et de mémoire en fonction des besoins. | Moyen | Onglet Problèmes d’intégrité des capteurs et Onglet Problèmes d’intégrité globale |
Capteur s’exécutant sur un système d’exploitation qui ne sera bientôt plus pris en charge
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’exécute sur un système d’exploitation qui ne sera bientôt plus pris en charge. | Windows Server 2012 et 2012 R2 ont pris fin le 10 octobre 2023. Pour plus d’informations, consultez : https://aka.ms/mdi/oseos | Le système d’exploitation sur le serveur doit être mis à niveau vers le dernier système d’exploitation pris en charge. Pour plus d’informations, consultez : https://aka.ms/mdi/os | Moyen | Onglet Problèmes d’intégrité des capteurs |
Capteur s’exécutant sur un système d’exploitation non pris en charge
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity s’exécute sur un système d’exploitation non pris en charge. | Windows Server 2012 et 2012 R2 ont pris fin le 10 octobre 2023. Pour plus d’informations, consultez : https://aka.ms/mdi/oseos | Le système d’exploitation sur le serveur doit être mis à niveau vers le dernier système d’exploitation pris en charge. Pour plus d’informations, consultez : https://aka.ms/mdi/os | Élevé | Onglet Problèmes d’intégrité des capteurs |
Le capteur rencontre des problèmes avec le composant de capture de paquets
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur Defender pour Identity utilise des pilotes WinPcap au lieu de pilotes Npcap. | Tous les clients doivent utiliser des pilotes Npcap au lieu des pilotes WinPcap. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM. | Installez Npcap conformément aux instructions décrites dans : https://aka.ms/mdi/npcap | Élevé | Onglet Problèmes d’intégrité des capteurs |
| Le capteur Defender pour Identity exécute une version Npcap antérieure à la version minimale requise. | La version minimale de Npcap prise en charge est 1.0. À compter de Defender pour Identity version 2.184, le package d’installation installe Npcap 1.0 OEM. | Mettez à niveau Npcap selon les instructions décrites dans : https://aka.ms/mdi/npcap | Moyen | Onglet Problèmes d’intégrité des capteurs |
| Le capteur Defender pour Identity exécute un composant Npcap qui n’est pas configuré comme requis. | L’installation de Npcap ne dispose pas des options de configuration requises. | Installez Npcap conformément aux instructions décrites dans : https://aka.ms/mdi/npcap | Élevé | Onglet Problèmes d’intégrité des capteurs |
L’audit NTLM n’est pas activé
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| L’audit NTLM n’est pas activé. | L’audit NTLM (pour l’ID d’événement 8004) n’est pas activé sur le serveur. (Cette configuration est validée une fois par jour, par capteur). | Activez les événements d’audit NTLM conformément aux instructions décrites dans la section ID d’événement 8004 de la page Configurer la collection d’événements Windows . | Moyen | Onglet Problèmes d’intégrité des capteurs |
L’audit avancé des services d’annuaire n’est pas activé en fonction des besoins
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| L’audit avancé des services d’annuaire n’est pas activé en fonction des besoins. (Cette configuration est validée une fois par jour, par capteur). | La configuration d’audit avancé des services d’annuaire n’inclut pas toutes les catégories et sous-catégories requises. | Activez les événements d’audit avancé des services d’annuaire. Pour plus d’informations, consultez Configurer des stratégies d’audit pour les journaux des événements Windows. | Moyen | Onglet Problèmes d’intégrité des capteurs |
L’audit d’objet des services d’annuaire n’est pas activé en fonction des besoins
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| L’audit d’objet des services d’annuaire n’est pas activé en fonction des besoins. (Cette configuration est validée une fois par jour, par domaine). | La configuration d’audit d’objet des services d’annuaire n’inclut pas tous les types d’objets et les autorisations nécessaires. | Activez les événements d’audit d’objet des services d’annuaire conformément aux instructions décrites dans la section Configurer l’audit des objets de domaine , dans la page Configurer la collection d’événements Windows . | Moyen | Onglet Problèmes d’intégrité globaux |
L’audit sur le conteneur de configuration n’est pas activé en fonction des besoins
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| L’audit sur le conteneur de configuration n’est pas activé en fonction des besoins. (Cette configuration est validée une fois par jour, par domaine). | L’audit des services d’annuaire sur le conteneur de configuration du domaine n’est pas activé en fonction des besoins. | Activez l’audit des services d’annuaire sur le conteneur configuration du domaine conformément aux instructions décrites dans la section Configurer les stratégies d’audit de la page Configurer la collection d’événements Windows . | Moyen | Onglet Problèmes d’intégrité globaux |
L’audit sur le conteneur ADFS n’est pas activé en fonction des besoins
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| L’audit sur le conteneur ADFS n’est pas activé en fonction des besoins. (Cette configuration est validée une fois par jour, par domaine). | L’audit des services d’annuaire sur le conteneur ADFS n’est pas activé en fonction des besoins. | Activez l’audit des services d’annuaire sur le conteneur ADFS conformément aux instructions décrites dans la section Configurer l’audit sur un Services ADFS (AD FS) de la page Configurer la collection d’événements Windows. | Moyen | Onglet Problèmes d’intégrité globaux |
Le mode d’alimentation n’est pas configuré pour des performances optimales du processeur
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le mode d’alimentation n’est pas configuré pour optimiser les performances du processeur. (Cette configuration est validée une fois par jour, par capteur). | Le mode d’alimentation du système d’exploitation n’est pas configuré selon les paramètres de performances optimales du processeur. Ce problème peut affecter les performances du serveur et la capacité des capteurs à détecter les activités suspectes. | Effectuez l’une des opérations suivantes : - Configurer l’option d’alimentation de la machine exécutant le capteur Defender pour Identity sur Hautes performances - Définir l’état du processeur minimal et maximal sur 100 Pour plus d’informations, consultez la section Exigences et recommandations relatives aux capteurs dans la page Conditions préalables de Defender pour Identity . |
Faible | Onglet Problèmes d’intégrité des capteurs |
Le capteur n’a pas pu écrire dans le chemin d’accès du journal personnalisé
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Le capteur n’a pas pu écrire dans le chemin du journal personnalisé. | Le chemin d’accès au journal personnalisé fourni dans la configuration du capteur ne peut pas être créé. | 1. Arrêtez les AATPSensorUpdater services et AATPSensor . 2. Remplacez le SensorCustomLogLocation dans le fichier de configuration du capteur par un chemin d’accès valide ou définissez-le sur null. 3. Démarrez à nouveau les AATPSensorUpdater services et AATPSensor . |
Faible | Onglet Problèmes d’intégrité des capteurs |
Échecs d’ingestion de données de la comptabilité Radius (intégration VPN)
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Échecs d’ingestion des données de la comptabilité Radius (intégration VPN). | Les capteurs Defender pour Identity répertoriés présentent des échecs d’ingestion de données de comptabilité radius (intégration VPN). | Vérifiez que le secret partagé dans les paramètres de configuration de Defender pour Identity correspond à votre serveur VPN, conformément aux instructions décrites dans la section Configurer VPN dans Defender pour Identity , dans la page d’intégration VPN de Defender pour Identity . | Faible | Page Problèmes d’intégrité |
Le capteur n’a pas pu récupérer la configuration du service Microsoft Entra Connect
| Alerte | Description | Résolution | Severity | Affiché dans |
|---|---|---|---|---|
| Échec de la récupération de la configuration du service Microsoft Entra Connect | Le capteur ne peut pas récupérer la configuration à partir du service Microsoft Entra Connect (également appelé synchronisation Microsoft Azure AD). | Vérifiez que le service Microsoft Entra connect (Microsoft Azure AD Sync) est en cours d’exécution et suivez les instructions fournies dans Configurer les autorisations pour la base de données Microsoft Entra Connect (ADSync) pour accorder au capteur les autorisations nécessaires. Si le problème persiste, suivez les instructions de résolution des problèmes de connectivité SQL avec Microsoft Entra Connect. | Moyen | Onglet Problèmes d’intégrité des capteurs |