Microsoft Defender for Identity hälsoproblem
På sidan Microsoft Defender for Identity Problem med hälsotillstånd visas eventuella aktuella hälsoproblem för distributionen och sensorerna för Defender for Identity, där du får aviseringar om eventuella problem i distributionen av Defender for Identity.
Sidan Med hälsoproblem
På sidan Microsoft Defender for Identity Problem med hälsotillstånd får du veta när det är problem med din Defender för identitet-arbetsyta genom att skapa ett hälsoproblem. Följ dessa steg för att komma åt sidan:
I Microsoft Defender XDR går du till Identiteter och väljer Hälsoproblem.
Sidan Hälsoproblem visas, där du kan se hälsoproblem för både din allmänna Defender för identitetsmiljö och specifika sensorer.
Defender for Identity stöder följande typer av hälsoaviseringar:
- Domänrelaterade eller aggregerade hälsoproblem som visas på fliken Globala hälsoproblem
- Sensorspecifika hälsoproblem som visas på fliken Sensorhälsoproblem
Filtrera problem efter status, ärendenamn eller allvarlighetsgrad för att hjälpa dig att hitta det problem du letar efter.
Till exempel:
Välj ett problem om du vill ha mer information och alternativet för att stänga eller förhindra problemet. Till exempel:
Hälsoproblem
Det här avsnittet beskriver alla hälsoproblem för varje komponent och visar orsaken och de steg som krävs för att lösa problemet.
Sensorspecifika hälsoproblem visas på fliken Sensorhälsoproblem och domänrelaterade eller aggregerade hälsoproblem visas på fliken Globala hälsoproblem enligt beskrivningen i följande tabeller:
En domänkontrollant kan inte nås av en sensor
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn har begränsade funktioner på grund av anslutningsproblem med den konfigurerade domänkontrollanten. | Detta påverkar Defender for Identitys förmåga att identifiera misstänkta aktiviteter relaterade till domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Kontrollera att domänkontrollanterna är igång och att den här Defender for Identity-sensorn kan öppna LDAP-anslutningar till dem. I Inställningar ser du dessutom till att konfigurera ett katalogtjänstkonto för varje distribuerad skog. | Medel | Fliken Problem med sensorers hälsotillstånd |
Alla/vissa av avbildningsnätverkskorten på en sensor är inte tillgängliga
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Alla/vissa av de valda avbildningsnätverkskorten på Defender for Identity-sensorn är inaktiverade eller frånkopplade. | Nätverkstrafik för vissa/alla domänkontrollanter registreras inte längre av Defender for Identity-sensorn. Det här problemet påverkar möjligheten att identifiera misstänkta aktiviteter som är relaterade till dessa domänkontrollanter. | Kontrollera att de valda avbildningsnätverkskorten på Defender for Identity-sensorn är aktiverade och anslutna. | Medel | Fliken Problem med sensorers hälsotillstånd |
Användarautentiseringsuppgifterna för katalogtjänster är felaktiga
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Autentiseringsuppgifterna för katalogtjänstanvändarkontot är felaktiga. | Det här problemet påverkar sensorernas möjlighet att identifiera aktiviteter med hjälp av LDAP-frågor mot domänkontrollanter. | – För standard-AD-konton: Kontrollera att användarnamnet, lösenordet och domänen på konfigurationssidan för Katalogtjänster är korrekta. – För grupphanterade tjänstkonton: Kontrollera att användarnamnet och domänen på konfigurationssidan för Katalogtjänster är korrekta. Kontrollera även alla andra krav för gMSA-kontot som beskrivs på sidan rekommendationer för katalogtjänstkontot . |
Medel | Fliken Globala hälsoproblem |
Låg framgångsgrad för aktiv namnmatchning
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| De listade Defender for Identity-sensorerna kan inte matcha IP-adresser till enhetsnamn mer än 90 % av tiden med hjälp av följande metoder: – NTLM över RPC -Netbios – Omvänd DNS |
Detta påverkar identifieringsfunktionerna i Defender for Identity och kan öka antalet falska positiva larm. | – För NTLM över RPC: Kontrollera att port 135 är öppen för inkommande kommunikation från Defender för identitetssensorer på alla datorer i miljön. – För omvänd DNS: Kontrollera att sensorerna kan nå DNS-servern och att omvända uppslagszoner är aktiverade. – För NetBIOS: Kontrollera att port 137 är öppen för inkommande kommunikation från Defender för identitetssensorer på alla datorer i miljön. Kontrollera dessutom att nätverkskonfigurationen (till exempel brandväggar) inte förhindrar kommunikation till relevanta portar. |
Låg | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
Ingen trafik har tagits emot från domänkontrollanten
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Ingen trafik togs emot från domänkontrollanten via den här Defender for Identity-sensorn. | Det här problemet kan tyda på att portspegling från domänkontrollanterna till Defender for Identity-sensorn inte har konfigurerats än eller inte fungerar. | Kontrollera att portspegling har konfigurerats korrekt på dina nätverksenheter. Inaktivera dessa funktioner i Avancerade inställningar i Defender för identitetssensorns avbildningsnätverkskort: Sammankoppling av mottagarsegment (IPv4) Sammankoppling av mottagarsegment (IPv6) |
Medel | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
Skrivskyddat användarlösenord upphör snart att gälla
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Det skrivskyddade användarlösenordet, som används för att lösa entiteter mot Active Directory, upphör snart att gälla om mindre än 30 dagar. | Om lösenordet för den här användaren upphör att gälla slutar alla Defender for Identity-sensorer att köras och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera sedan lösenordet för katalogtjänstens konto . | Medel | Fliken Globala hälsoproblem |
Skrivskyddat användarlösenord har upphört att gälla
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Det skrivskyddade användarlösenordet som används för att hämta katalogdata har upphört att gälla. | Alla Defender for Identity-sensorer slutar att köras eller kommer snart att sluta köras och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera sedan lösenordet för katalogtjänstens konto . | Högsta | Fliken Globala hälsoproblem |
Sensorn är inaktuell
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| En Defender for Identity-sensor är inaktuell. | En Defender for Identity-sensor kör en version som inte kan kommunicera med molninfrastrukturen Defender för identitet. | Uppdatera sensorn manuellt och kontrollera varför sensorn inte uppdateras automatiskt. Om det här alternativet inte fungerar laddar du ned det senaste sensorinstallationspaketet och avinstallerar och installerar om sensorn. Mer information finns i Ladda ned Microsoft Defender for Identity-sensorn och Installera Microsoft Defender for Identity-sensorn. | Medel | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
Sensorn har nått en minnesresursgräns
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn stoppade sig själv och startas om automatiskt för att skydda domänkontrollanten från ett låg minnestillstånd. | Defender for Identity-sensorn tillämpar minnesbegränsningar på sig själv för att förhindra att domänkontrollanten upplever resursbegränsningar. Det här problemet uppstår när minnesanvändningen på domänkontrollanten är hög. Data från den här domänkontrollanten övervakas endast delvis. | Öka mängden minne (RAM) på domänkontrollanten eller lägg till fler domänkontrollanter på den här webbplatsen för att bättre fördela belastningen på den här domänkontrollanten. | Medel | Fliken Problem med sensorers hälsotillstånd |
Sensortjänsten kunde inte starta
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Det gick inte att starta sensortjänsten Defender for Identity i minst 30 minuter. | Det här problemet kan påverka möjligheten att identifiera misstänkta aktiviteter från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Övervaka Defender for Identity-sensorloggar för att förstå rotorsaken till fel i tjänsten Defender för identitetssensorer. | Högsta | Fliken Problem med sensorers hälsotillstånd |
Sensorn slutade kommunicera
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Det har inte förekommit någon kommunikation från Defender for Identity-sensorn. Standardtidsintervallet för den här aviseringen är 5 minuter. | Detta indikerar att sensorn inte kunde skicka data eller en keep-alive-signal till Defender for Identity-tjänsterna under en period som överskred den tillåtna tiden. Detta tyder vanligtvis antingen på ett nätverksproblem i miljön som förhindrade dataöverföring eller en omstart av servern som tog längre tid än den godkända tidsramen, vilket påverkar Defender for Identitys förmåga att identifiera misstänkta aktiviteter. | Kontrollera att kommunikationen mellan Defender för identitetssensorn och molntjänsten Defender för identitet inte blockeras av några routrar eller brandväggar. | Medel | Fliken Problem med sensorers hälsotillstånd |
Vissa Windows-händelser analyseras inte
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot fler händelser än den kan bearbeta. | Vissa Windows-händelser analyseras inte. Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. Om du använder en fristående Defender for Identity-sensor kontrollerar du att endast nödvändiga händelser vidarebefordras till sensorn. Eller prova att vidarebefordra vissa händelser till en annan Defender for Identity-sensor. | Medel | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
En del nätverkstrafik kunde inte analyseras
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot mer nätverkstrafik än den kan bearbeta. | En del nätverkstrafik kunde inte analyseras. Det här problemet kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. Om du använder en fristående Defender for Identity-sensor minskar du antalet domänkontrollanter som övervakas. Det här problemet kan också inträffa om du använder domänkontrollanter på virtuella VMware-datorer. För att undvika dessa problem kan du kontrollera att följande inställningar är inställda på 0 eller Inaktiverade på den virtuella datorn (i Windows-operativsystemet, inte i VMware-inställningarna): - Stor skicka avlastning V2 (IPv4) - IPv4 TSO-avlastning Namnen kan variera beroende på din VMware-version. Mer information finns i VMware-dokumentationen. |
Medel | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
Vissa ETW-händelser analyseras inte
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot fler händelser för Händelsespårning för Windows (ETW) än den kan bearbeta. | Vissa händelsespårning för Windows-händelser (ETW) analyseras inte. Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. | Medel | Fliken Hälsoproblem för sensorer och fliken Globala hälsoproblem |
Sensor som körs på ett operativsystem som snart inte stöds
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn körs på ett operativsystem som snart inte stöds. | Windows Server 2012 och 2012 R2 upphörde den 10 oktober 2023. Mer information kan vara fount på: https://aka.ms/mdi/oseos | Operativsystemet på servern bör uppgraderas till det senaste operativsystem som stöds. Mer information finns i: https://aka.ms/mdi/os | Medel | Fliken Problem med sensorers hälsotillstånd |
Sensor som körs på ett operativsystem som inte stöds
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn körs på ett operativsystem som inte stöds. | Windows Server 2012 och 2012 R2 upphörde den 10 oktober 2023. Mer information finns på: https://aka.ms/mdi/oseos | Operativsystemet på servern bör uppgraderas till det senaste operativsystem som stöds. Mer information finns i: https://aka.ms/mdi/os | Högsta | Fliken Problem med sensorers hälsotillstånd |
Sensorn har problem med paketfångstkomponenten
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn använder WinPcap-drivrutiner i stället för Npcap-drivrutiner. | Alla kunder bör använda Npcap-drivrutiner i stället för WinPcap-drivrutiner. Från och med Defender för identitet version 2.184 installerar installationspaketet Npcap 1.0 OEM. | Installera Npcap enligt riktlinjerna enligt beskrivningen i: https://aka.ms/mdi/npcap | Högsta | Fliken Problem med sensorers hälsotillstånd |
| Defender for Identity-sensorn kör en Npcap-version som är äldre än den lägsta version som krävs. | Den lägsta Npcap-version som stöds är 1.0. Från och med Defender för identitet version 2.184 installerar installationspaketet Npcap 1.0 OEM. | Uppgradera Npcap enligt riktlinjerna enligt beskrivningen i: https://aka.ms/mdi/npcap | Medel | Fliken Problem med sensorers hälsotillstånd |
| Defender for Identity-sensorn kör en Npcap-komponent som inte har konfigurerats efter behov. | Npcap-installationen saknar de konfigurationsalternativ som krävs. | Installera Npcap enligt riktlinjerna enligt beskrivningen i: https://aka.ms/mdi/npcap | Högsta | Fliken Problem med sensorers hälsotillstånd |
NTLM-granskning är inte aktiverat
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| NTLM-granskning är inte aktiverat. | NTLM-granskning (för händelse-ID 8004) är inte aktiverat på servern. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Aktivera NTLM-granskningshändelser enligt vägledningen enligt beskrivningen i avsnittet Händelse-ID 8004 på sidan Konfigurera Windows-händelsesamling . | Medel | Fliken Problem med sensorers hälsotillstånd |
Avancerad granskning i Directory Services är inte aktiverat efter behov
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Avancerad granskning för Directory Services är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Konfigurationen för avancerad granskning i Directory Services innehåller inte alla kategorier och underkategorier efter behov. | Aktivera händelser för avancerad granskning i Directory Services. Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar. | Medel | Fliken Problem med sensorers hälsotillstånd |
Objektgranskning i Directory Services är inte aktiverat efter behov
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Objektgranskning i Directory Services är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Konfigurationen för granskning av katalogtjänster innehåller inte alla objekttyper och behörigheter efter behov. | Aktivera granskningshändelser för Directory Services-objekt enligt vägledningen enligt beskrivningen i avsnittet Konfigurera granskning av domänobjekt på sidan Konfigurera Windows-händelsesamling . | Medel | Fliken Globala hälsoproblem |
Granskning av konfigurationscontainern är inte aktiverat efter behov
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Granskning av konfigurationscontainern är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Directory Services-granskning i domänens konfigurationscontainer är inte aktiverad efter behov. | Aktivera Directory Services-granskning i domänens konfigurationscontainer enligt riktlinjerna enligt beskrivningen i avsnittet Konfigurera granskningsprinciper på sidan Konfigurera Windows-händelsesamling . | Medel | Fliken Globala hälsoproblem |
Granskning av ADFS-containern är inte aktiverat efter behov
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Granskning av ADFS-containern är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Directory Services-granskning i ADFS-containern är inte aktiverad efter behov. | Aktivera Directory Services-granskning i ADFS-containern enligt riktlinjerna enligt beskrivningen i avsnittet Konfigurera granskning på en Active Directory Federation Services (AD FS) (AD FS) på sidan Konfigurera Windows-händelsesamling. | Medel | Fliken Globala hälsoproblem |
Energiläget har inte konfigurerats för optimal processorprestanda
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Energiläget har inte konfigurerats för optimal processorprestanda. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Operativsystemets energiläge är inte konfigurerat för optimala processorprestandainställningar. Det här problemet kan påverka serverns prestanda och sensorernas förmåga att identifiera misstänkta aktiviteter. | Gör något av följande: – Konfigurera energialternativet för datorn som kör Defender for Identity-sensorn till Höga prestanda – Ange både det lägsta och högsta processortillståndet till 100 Mer information finns i avsnittet Sensorkrav och rekommendationer på sidan krav för Defender för identitet . |
Låg | Fliken Problem med sensorers hälsotillstånd |
Sensorn kunde inte skriva till den anpassade loggsökvägen
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Sensorn kunde inte skriva till den anpassade loggsökvägen. | Det går inte att skapa den anpassade loggsökvägen i sensorkonfigurationen. | 1. Stoppa AATPSensorUpdater tjänsterna och AATPSensor . 2. Ändra SensorCustomLogLocation i sensorkonfigurationsfilen till en giltig sökväg eller ange den till null. 3. Starta AATPSensorUpdater tjänsterna och AATPSensor igen. |
Låg | Fliken Problem med sensorers hälsotillstånd |
Datainmatningsfel för radius-redovisning (VPN-integrering)
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Datainmatningsfel för radius-redovisning (VPN-integrering). | De listade Defender for Identity-sensorerna har datainmatningsfel för radius-redovisning (VPN-integrering). | Kontrollera att den delade hemligheten i konfigurationsinställningarna för Defender for Identity matchar VPN-servern, enligt vägledningen som beskrivs i avsnittet Konfigurera VPN i Defender för identitet , på vpn-integreringssidan för Defender för identitet . | Låg | Sidan Med hälsoproblem |
Sensorn kunde inte hämta Microsoft Entra Connect-tjänstkonfigurationen
| Varning | Beskrivning | Åtgärd | Allvarlighetsgrad | Visas i |
|---|---|---|---|---|
| Det gick inte att hämta Microsoft Entra Connect-tjänstkonfigurationen | Sensorn kan inte hämta konfigurationen från Microsoft Entra Connect-tjänsten (kallas även Microsoft Azure AD synkronisering). | Kontrollera att Microsoft Entra connect-tjänsten (Microsoft Azure AD Sync) körs och följ anvisningarna i Konfigurera behörigheter för databasen Microsoft Entra Connect (ADSync) för att ge sensorn nödvändiga behörigheter. Om problemet kvarstår följer du felsökningsvägledningen för SQL-anslutningsproblem med Microsoft Entra Connect. | Medel | Fliken Problem med sensorers hälsotillstånd |