problémy se stavem Microsoft Defender for Identity
Na stránce Microsoft Defender for Identity Health Issues (Problémy se stavem) se zobrazí seznam aktuálních problémů s nasazením služby Defender for Identity a senzory, které vás upozorní na případné problémy v nasazení defenderu for Identity.
Stránka Problémy se stavem
Stránka Microsoft Defender for Identity Health issues (Problémy se stavem) vás informuje o problému s pracovním prostorem Defenderu for Identity tím, že vyvolá problém se stavem. Chcete-li získat přístup na stránku, postupujte takto:
V Microsoft Defender XDR v části Identity vyberte Problémy se stavem.
Zobrazí se stránka Problémy se stavem , kde můžete zobrazit problémy se stavem pro obecné prostředí Defenderu for Identity i konkrétní senzory.
Defender for Identity podporuje následující typy upozornění na stav:
- Problémy se stavem související s doménou nebo agregované problémy uvedené na kartě Globální problémy se stavem
- Problémy se stavem specifické pro senzory uvedené na kartě Problémy se stavem senzoru
Filtrováním problémů podle stavu, názvu problému nebo závažnosti vám pomůže najít problém, který hledáte.
Příklady:
Výběrem libovolného problému získáte další podrobnosti a možnost ho zavřít nebo potlačit. Příklady:
Problémy se stavem
Tato část popisuje všechny problémy se stavem jednotlivých komponent a uvádí příčinu a kroky potřebné k vyřešení problému.
Problémy se stavem specifické pro senzory se zobrazují na kartě Problémy se stavem senzoru a problémy související s doménou nebo agregované problémy se stavem se zobrazují na kartě Globální problémy se stavem , jak je podrobně popsáno v následujících tabulkách:
Řadič domény je nedostupný senzorem
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity má omezenou funkčnost kvůli problémům s připojením k nakonfigurovanýmu řadiči domény. | To má vliv na schopnost Defenderu for Identity detekovat podezřelé aktivity související s řadiči domény monitorovanými tímto senzorem Defenderu for Identity. | Ujistěte se, že jsou řadiče domény v provozu a že tento senzor Defenderu for Identity k nim může otevřít připojení LDAP. Kromě toho v Nastavení nezapomeňte nakonfigurovat účet adresářové služby pro každou nasazenou doménovou strukturu. | Střední | Karta Problémy se stavem senzorů |
Všechny/Některé síťové adaptéry pro zachytávání na senzoru nejsou k dispozici
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Všechny/Některé vybrané síťové adaptéry pro zachytávání na senzoru Defenderu for Identity jsou zakázané nebo odpojené. | Senzor Defenderu for Identity už nezachytává síťový provoz některých nebo všech řadičů domény. Tento problém se týká schopnosti detekovat podezřelé aktivity související s těmito řadiči domény. | Ujistěte se, že jsou tyto vybrané síťové adaptéry pro zachytávání na senzoru Defenderu for Identity povolené a připojené. | Střední | Karta Problémy se stavem senzorů |
Přihlašovací údaje uživatele adresářových služeb jsou nesprávné
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Přihlašovací údaje pro uživatelský účet adresářových služeb jsou nesprávné. | Tento problém se týká schopnosti senzorů detekovat aktivity pomocí dotazů LDAP na řadičích domény. | – Pro standardní účty AD: Ověřte správnost uživatelského jména, hesla a domény na stránce konfigurace adresářových služeb . – Pro skupinové účty spravované služby: Ověřte správnost uživatelského jména a domény na stránce konfigurace adresářových služeb . Projděte si také všechny další požadavky na účet gMSA popsané na stránce s doporučeními k účtu adresářové služby . |
Střední | Karta Globální problémy se stavem |
Nízká míra úspěšnosti při překladu aktivních ip adres
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Uvedené senzory Defenderu for Identity selhávají při překladu IP adres na názvy zařízení více než 90 % času pomocí následujících metod: – PROTOKOL NTLM přes RPC -Rozhraní netbios - Reverzní DNS |
To má vliv na schopnosti detekce služby Defender for Identity a může se zvýšit počet falešně pozitivních poplachů. | – Pro NTLM přes RPC: Zkontrolujte, jestli je port 135 otevřený pro příchozí komunikaci ze senzorů Defenderu for Identity na všech počítačích v prostředí. – Pro reverzní DNS: Zkontrolujte, jestli se senzory dostanou na server DNS a jestli jsou povolené zóny zpětného vyhledávání. – Pro Rozhraní NetBIOS: Zkontrolujte, jestli je port 137 otevřený pro příchozí komunikaci ze senzorů Defenderu for Identity na všech počítačích v prostředí. Kromě toho se ujistěte, že konfigurace sítě (například brány firewall) nebrání komunikaci s příslušnými porty. |
Nízký | Karta Problémy se stavem senzorů a globální problémy se stavem |
Z řadiče domény nebyl přijat žádný provoz.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Z řadiče domény nebyl přijat žádný provoz prostřednictvím tohoto senzoru Defenderu for Identity. | Tento problém může značit, že zrcadlení portů z řadičů domény do senzoru Defender for Identity ještě není nakonfigurované nebo nefunguje. | Ověřte, že je zrcadlení portů na síťových zařízeních správně nakonfigurované. Na síťové kartě pro zachycení senzoru Defenderu for Identity zakažte v Upřesňujícím nastavení tyto funkce: Shodování příjmových segmentů (IPv4) Shodování příjmových segmentů (IPv6) |
Střední | Karta Problémy se stavem senzorů a globální problémy se stavem |
Brzy vyprší platnost hesla uživatele jen pro čtení.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Uživatelské heslo jen pro čtení, které se používá k překladu entit ve službě Active Directory, brzy vyprší za méně než 30 dnů. | Pokud vyprší platnost hesla pro tohoto uživatele, všechny senzory Defenderu for Identity přestanou běžet a neshromažďují se žádná nová data. | Změňte heslo pro připojení k doméně a pak aktualizujte heslo účtu adresářové služby . | Střední | Karta Globální problémy se stavem |
Vypršela platnost hesla uživatele jen pro čtení.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Platnost hesla uživatele jen pro čtení, které se používá k získání dat adresáře, vypršela. | Všechny senzory Defenderu for Identity přestanou fungovat nebo brzy přestanou fungovat a neshromažďují se žádná nová data. | Změňte heslo pro připojení k doméně a pak aktualizujte heslo účtu adresářové služby . | High (Vysoká) | Karta Globální problémy se stavem |
Zastaralý senzor
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity je zastaralý. | Senzor Defenderu for Identity používá verzi, která nemůže komunikovat s cloudovou infrastrukturou Defenderu for Identity. | Ručně aktualizujte senzor a zkontrolujte, proč se senzor neaktualizuje automaticky. Pokud tato možnost nefunguje, stáhněte si nejnovější instalační balíček senzoru a odinstalujte a znovu nainstalujte senzor. Další informace najdete v tématech Stažení senzoru Microsoft Defender for Identity a Instalace senzoru Microsoft Defender for Identity. | Střední | Karta Problémy se stavem senzorů a globální problémy se stavem |
Senzor dosáhl limitu prostředků paměti.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity se sám zastavil a automaticky se restartuje, aby chránil řadič domény před nedostatkem paměti. | Senzor Defenderu for Identity sám vynucuje omezení paměti, aby nedošlo k omezení prostředků řadiče domény. K tomuto problému dochází při vysokém využití paměti na řadiči domény. Data z tohoto řadiče domény se monitorují jenom částečně. | Pokud chcete lépe distribuovat zatížení tohoto řadiče domény, zvyšte velikost paměti (RAM) na řadiči domény nebo přidejte do této lokality další řadiče domény. | Střední | Karta Problémy se stavem senzorů |
Službu senzoru se nepodařilo spustit
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Službu senzoru Defender for Identity se nepodařilo spustit nejméně 30 minut. | Tento problém může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény, které monitoruje tento senzor Defenderu for Identity. | Monitorujte protokoly senzorů Defenderu for Identity, abyste pochopili původní příčinu selhání služby senzoru Defender for Identity. | High (Vysoká) | Karta Problémy se stavem senzorů |
Senzor přestal komunikovat
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Ze senzoru Defenderu for Identity nedošlo k žádné komunikaci. Výchozí časový rozsah pro tuto výstrahu je 5 minut. | To značí, že se senzoru nepodařilo odeslat data nebo signál o zachování stavu do služeb Defenderu for Identity po dobu delší než povolený čas. Obvykle to značí problém se sítí v prostředí, které bránilo přenosu dat, nebo restartování serveru, které trvalo déle, než je přijatelný časový rámec, což má vliv na schopnost Defenderu for Identity detekovat podezřelé aktivity. | Zkontrolujte, jestli komunikace mezi senzorem Defenderu for Identity a cloudovou službou Defender for Identity neblokují žádné směrovače ani brány firewall. | Střední | Karta Problémy se stavem senzorů |
Některé události Windows se neanalybují
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity přijímá více událostí, než dokáže zpracovat. | Některé události Windows se neanalybují. To může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných tímto senzorem Defenderu for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. Pokud používáte samostatný senzor Defenderu for Identity, ověřte, že se do senzoru předávají jenom požadované události. Nebo zkuste některé události předat jinému senzoru Defenderu for Identity. | Střední | Karta Problémy se stavem senzorů a globální problémy se stavem |
Nebylo možné analyzovat některé síťové přenosy.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity přijímá více síťového provozu, než dokáže zpracovat. | Některé síťové přenosy se nedají analyzovat. Tento problém může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných tímto senzorem Defenderu for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. Pokud používáte samostatný senzor Defenderu for Identity, snižte počet monitorovaných řadičů domény. K tomuto problému může dojít také v případě, že na virtuálních počítačích VMware používáte řadiče domény. Pokud se chcete těmto problémům vyhnout, můžete zkontrolovat, jestli jsou následující nastavení ve virtuálním počítači nastavená na hodnotu 0 nebo Zakázáno (v operačním systému Windows, ne v nastavení VMware): - Velké odesílání přesměrování zpracování V2 (IPv4) - Přesměrování zpracování IPv4 TSO Názvy se můžou lišit v závislosti na vaší verzi VMware. Další informace najdete v dokumentaci k VMware. |
Střední | Karta Problémy se stavem senzorů a globální problémy se stavem |
Některé události Trasování událostí pro Windows se neanalybují
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity přijímá více událostí trasování událostí pro Windows(ETW), než dokáže zpracovat. | Některé události trasování událostí pro Windows (ETW) se neanalybují. To může mít vliv na schopnost detekovat podezřelé aktivity pocházející z řadičů domény monitorovaných tímto senzorem Defenderu for Identity. | Zvažte přidání dalších procesorů a paměti podle potřeby. | Střední | Karta Problémy se stavem senzorů a globální problémy se stavem |
Senzor spuštěný v operačním systému, který brzy přestane být podporován
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity je spuštěný v operačním systému, který brzy přestane být podporován. | podpora Windows Server 2012 a 2012 R2 skončila 10. října 2023. Další podrobnosti najdete v: https://aka.ms/mdi/oseos | Operační systém na serveru by se měl upgradovat na nejnovější podporovaný operační systém. Další podrobnosti najdete tady: https://aka.ms/mdi/os | Střední | Karta Problémy se stavem senzorů |
Senzor spuštěný v nepodporovaném operačním systému
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity je spuštěný v nepodporovaném operačním systému. | podpora Windows Server 2012 a 2012 R2 skončila 10. října 2023. Další podrobnosti najdete tady: https://aka.ms/mdi/oseos | Operační systém na serveru by se měl upgradovat na nejnovější podporovaný operační systém. Další podrobnosti najdete tady: https://aka.ms/mdi/os | High (Vysoká) | Karta Problémy se stavem senzorů |
Senzor má problémy se komponentou pro zachytávání paketů
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzor Defenderu for Identity používá ovladače WinPcap místo ovladačů Npcap. | Všichni zákazníci by měli místo ovladačů WinPcap používat ovladače Npcap. Počínaje defenderem for Identity verze 2.184 nainstaluje instalační balíček OEM Npcap 1.0. | Nainstalujte Npcap podle pokynů popsaných v tématu: https://aka.ms/mdi/npcap | High (Vysoká) | Karta Problémy se stavem senzorů |
| Senzor Defenderu for Identity používá verzi Npcap starší, než je minimální požadovaná verze. | Minimální podporovaná verze Npcap je 1.0. Počínaje defenderem for Identity verze 2.184 nainstaluje instalační balíček OEM Npcap 1.0. | Upgradujte npcap podle pokynů popsaných v tématu: https://aka.ms/mdi/npcap | Střední | Karta Problémy se stavem senzorů |
| Na senzoru Defenderu for Identity běží komponenta Npcap, která není nakonfigurovaná podle potřeby. | V instalaci npcap chybí požadované možnosti konfigurace. | Nainstalujte Npcap podle pokynů popsaných v tématu: https://aka.ms/mdi/npcap | High (Vysoká) | Karta Problémy se stavem senzorů |
Auditování NTLM není povolené.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování PROTOKOLU NTLM není povolené. | Auditování PROTOKOLU NTLM (s ID události 8004) není na serveru povolené. (Tato konfigurace se ověřuje jednou denně pro každý senzor.) | Povolte události auditování protokolu NTLM podle pokynů popsaných v části ID události 8004 na stránce Konfigurace shromažďování událostí systému Windows . | Střední | Karta Problémy se stavem senzorů |
Rozšířené auditování adresářových služeb není povolené podle potřeby.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Rozšířené auditování adresářových služeb není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každý senzor.) | Konfigurace rozšířeného auditování adresářových služeb neobsahuje podle potřeby všechny kategorie a podkategorie. | Povolte události rozšířeného auditování adresářových služeb. Další informace najdete v tématu Konfigurace zásad auditu pro protokoly událostí Windows. | Střední | Karta Problémy se stavem senzorů |
Auditování objektů adresářových služeb není povolené podle potřeby.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování objektů adresářových služeb není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každou doménu.) | Konfigurace Auditování objektů adresářových služeb neobsahuje všechny typy objektů a oprávnění podle potřeby. | Povolte události auditování objektů adresářových služeb podle pokynů popsaných v části Konfigurace auditování objektů domény na stránce Konfigurovat shromažďování událostí systému Windows . | Střední | Karta Globální problémy se stavem |
Auditování kontejneru konfigurace není povolené podle potřeby.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování kontejneru konfigurace není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každou doménu.) | Auditování adresářových služeb v kontejneru Konfigurace domény není povolené podle potřeby. | Povolte auditování adresářových služeb v kontejneru Konfigurace domény podle pokynů popsaných v části Konfigurace zásad auditu na stránce Konfigurace shromažďování událostí systému Windows . | Střední | Karta Globální problémy se stavem |
Auditování kontejneru AD FS není povolené podle potřeby.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Auditování kontejneru AD FS není povolené podle potřeby. (Tato konfigurace se ověřuje jednou denně pro každou doménu.) | Auditování adresářových služeb v kontejneru AD FS není povolené podle potřeby. | Povolte auditování adresářových služeb v kontejneru ADFS podle pokynů popsaných v části Konfigurace auditování na Active Directory Federation Services (AD FS) (AD FS) na stránce Konfigurace shromažďování událostí systému Windows. | Střední | Karta Globální problémy se stavem |
Režim napájení není nakonfigurovaný pro optimální výkon procesoru.
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Režim napájení není nakonfigurován pro optimální výkon procesoru. (Tato konfigurace se ověřuje jednou denně pro každý senzor.) | Režim napájení operačního systému není nakonfigurovaný na optimální nastavení výkonu procesoru. Tento problém může mít vliv na výkon serveru a schopnost senzorů detekovat podezřelé aktivity. | Udělejte jedno z následujícího: – Nakonfigurujte možnost napájení počítače, na kterém běží senzor Defenderu for Identity, na vysoký výkon. – Nastavte minimální i maximální stav procesoru na 100. Další informace najdete v části Požadavky na senzory a doporučení na stránce Požadavky na Defender for Identity . |
Nízký | Karta Problémy se stavem senzorů |
Senzoru se nepodařilo zapsat do vlastní cesty protokolu
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Senzoru se nepodařilo zapsat do vlastní cesty protokolu. | Nelze vytvořit vlastní cestu protokolu zadanou v konfiguraci senzoru. | 1. Zastavte AATPSensorUpdater služby a AATPSensor . 2. Změňte SensorCustomLogLocation v konfiguračním souboru senzoru platnou cestu nebo ji nastavte na hodnotu null. 3. Znovu spusťte AATPSensorUpdater služby a AATPSensor . |
Nízký | Karta Problémy se stavem senzorů |
Selhání příjmu dat monitorování účtů radius (integrace VPN)
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Selhání příjmu dat monitorování účtů radius (integrace SÍTĚ VPN). | Uvedené senzory Defenderu for Identity mají selhání příjmu dat pomocí monitorování radiusu (integrace VPN). | Ověřte, že sdílený tajný klíč v nastavení konfigurace Defenderu for Identity odpovídá vašemu serveru VPN, a to podle pokynů popsaných v části Konfigurace sítě VPN v Defenderu pro identitu na stránce integrace sítě VPN defenderu for Identity . | Nízký | Stránka Problémy se stavem |
Senzoru se nepodařilo načíst konfiguraci služby Microsoft Entra Connect
| Upozornění | Popis | Řešení | Závažnost | Zobrazeno v |
|---|---|---|---|---|
| Nepovedlo se načíst konfiguraci služby Microsoft Entra Connect. | Senzor nemůže načíst konfiguraci ze služby Microsoft Entra Connect (označované také jako synchronizace Microsoft Azure AD). | Ujistěte se, že je spuštěná služba Microsoft Entra Connect (Microsoft Azure AD Sync), a podle pokynů v tématu Konfigurace oprávnění pro databázi Microsoft Entra Connect (ADSync) udělte senzoru potřebná oprávnění. Pokud problém přetrvává, postupujte podle pokynů k řešení potíží s připojením SQL k Microsoft Entra Connect. | Střední | Karta Problémy se stavem senzorů |