problemas de estado de Microsoft Defender for Identity
En la página problemas de estado de Microsoft Defender for Identity se enumeran los problemas de mantenimiento actuales de la implementación y los sensores de Defender for Identity, que le avisan de cualquier problema en la implementación de Defender for Identity.
Página Problemas de mantenimiento
La página problemas de estado de Microsoft Defender for Identity le permite saber cuándo hay un problema con el área de trabajo de Defender for Identity, ya que genera un problema de mantenimiento. Para acceder a la página, siga estos pasos:
En Microsoft Defender XDR, en Identidades, seleccione Problemas de mantenimiento.
Aparece la página Problemas de mantenimiento, donde puede ver problemas de mantenimiento tanto para el entorno general de Defender for Identity como para sensores específicos.
Defender for Identity admite los siguientes tipos de alertas de estado:
- Problemas de mantenimiento agregados o relacionados con el dominio, que aparecen en la pestaña Problemas de mantenimiento globales
- Problemas de estado específicos del sensor, que aparecen en la pestaña Problemas de estado del sensor
Filtre los problemas por estado, nombre del problema o gravedad para ayudarle a encontrar el problema que está buscando.
Por ejemplo:
Seleccione cualquier problema para obtener más detalles y la opción de cerrar o suprimir el problema. Por ejemplo:
Problemas de mantenimiento
En esta sección se describen todos los problemas de mantenimiento de cada componente y se enumeran la causa y los pasos necesarios para resolver el problema.
Los problemas de mantenimiento específicos del sensor se muestran en la pestaña Problemas de mantenimiento del sensor y los problemas de mantenimiento agregados o relacionados con el dominio se muestran en la pestaña Problemas de mantenimiento globales , como se detalla en las tablas siguientes:
Un controlador de dominio no es accesible para un sensor
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity tiene una funcionalidad limitada debido a problemas de conectividad con el controlador de dominio configurado. | Esto afecta a la capacidad de Defender for Identity de detectar actividades sospechosas relacionadas con controladores de dominio supervisados por este sensor de Defender for Identity. | Asegúrese de que los controladores de dominio están en funcionamiento y de que este sensor de Defender for Identity puede abrir conexiones LDAP con ellos. Además, en Configuración , asegúrese de configurar una cuenta de servicio de directorio para cada bosque implementado. | Mediano | Pestaña Problemas de mantenimiento de sensores |
Todos/Algunos de los adaptadores de red de captura de un sensor no están disponibles
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| Todos o algunos de los adaptadores de red de captura seleccionados en el sensor de Defender for Identity están deshabilitados o desconectados. | El sensor de Defender for Identity ya no captura el tráfico de red para algunos o todos los controladores de dominio. Este problema afecta a la capacidad de detectar actividades sospechosas relacionadas con esos controladores de dominio. | Asegúrese de que estos adaptadores de red de captura seleccionados en el sensor de Defender for Identity están habilitados y conectados. | Mediano | Pestaña Problemas de mantenimiento de sensores |
Las credenciales de usuario de servicios de directorio son incorrectas
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| Las credenciales de la cuenta de usuario de servicios de directorio son incorrectas. | Este problema afecta a la capacidad de los sensores para detectar actividades mediante consultas LDAP en controladores de dominio. | - Para cuentas de AD estándar : compruebe que el nombre de usuario, la contraseña y el dominio de la página de configuración de Servicios de directorio son correctos. - Para cuentas de servicio administradas de grupo: compruebe que el nombre de usuario y el dominio de la página de configuración de Servicios de directorio son correctos. Compruebe también todos los demás requisitos previos de la cuenta de gMSA que se describen en la página de recomendaciones de la cuenta del servicio de directorio . |
Mediano | Pestaña Problemas de mantenimiento global |
Baja tasa de éxito de resolución de nombres activos
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| Los sensores de Defender for Identity enumerados no pueden resolver las direcciones IP en los nombres de dispositivo más del 90 % del tiempo mediante los métodos siguientes: - NTLM sobre RPC -NetBIOS - DNS inverso |
Esto afecta a las funcionalidades de detección de Defender for Identity y puede aumentar el número de alarmas falsas positivas. | - Para NTLM sobre RPC: compruebe que el puerto 135 está abierto para la comunicación entrante desde los sensores de Defender for Identity en todos los equipos del entorno. - Para DNS inverso: compruebe que los sensores pueden llegar al servidor DNS y que las zonas de búsqueda inversa están habilitadas. - Para NetBIOS: compruebe que el puerto 137 está abierto para la comunicación entrante desde los sensores de Defender for Identity en todos los equipos del entorno. Además, asegúrese de que la configuración de red (como los firewalls) no impide la comunicación con los puertos pertinentes. |
Bajo | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
No se ha recibido tráfico del controlador de dominio
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| No se recibió tráfico del controlador de dominio a través de este sensor de Defender for Identity. | Este problema podría indicar que la creación de reflejo del puerto desde los controladores de dominio al sensor de Defender for Identity todavía no está configurada o no funciona. | Compruebe que la creación de reflejo del puerto está configurada correctamente en los dispositivos de red. En la NIC de captura del sensor de Defender for Identity, deshabilite estas características en Configuración avanzada: Fusión de segmentos de recepción (IPv4) Fusión de segmentos de recepción (IPv6) |
Mediano | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
Contraseña de usuario de solo lectura que expirará en breve
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La contraseña de usuario de solo lectura, que se usa para realizar la resolución de entidades en Active Directory, está a punto de expirar en menos de 30 días. | Si la contraseña de este usuario expira, todos los sensores de Defender for Identity dejan de ejecutarse y no se recopilan datos nuevos. | Cambie la contraseña de conectividad del dominio y, a continuación, actualice la contraseña de la cuenta del servicio de directorio . | Mediano | Pestaña Problemas de mantenimiento global |
Contraseña de usuario de solo lectura expirada
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La contraseña de usuario de solo lectura, que se usa para obtener datos de directorio, ha expirado. | Todos los sensores de Defender for Identity dejan de ejecutarse o dejarán de ejecutarse pronto y no se recopilan datos nuevos. | Cambie la contraseña de conectividad del dominio y, a continuación, actualice la contraseña de la cuenta del servicio de directorio . | Alto | Pestaña Problemas de mantenimiento global |
Sensor obsoleto
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| Un sensor de Defender for Identity no está actualizado. | Un sensor de Defender for Identity ejecuta una versión que no puede comunicarse con la infraestructura en la nube de Defender for Identity. | Actualice manualmente el sensor y compruebe por qué el sensor no se actualiza automáticamente. Si esta opción no funciona, descargue el paquete de instalación del sensor más reciente y desinstale y vuelva a instalar el sensor. Para obtener más información, vea Descargar el sensor de Microsoft Defender for Identity e Instalar el sensor de Microsoft Defender for Identity. | Mediano | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
El sensor alcanzó un límite de recursos de memoria
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity se detuvo y se reinicia automáticamente para proteger el controlador de dominio de una condición de memoria baja. | El sensor de Defender for Identity aplica limitaciones de memoria sobre sí mismo para evitar que el controlador de dominio experimente limitaciones de recursos. Este problema se produce cuando el uso de memoria en el controlador de dominio es alto. Los datos de este controlador de dominio solo se supervisan parcialmente. | Aumente la cantidad de memoria (RAM) en el controlador de dominio o agregue más controladores de dominio en este sitio para distribuir mejor la carga de este controlador de dominio. | Mediano | Pestaña Problemas de mantenimiento de sensores |
No se pudo iniciar el servicio de sensor
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El servicio de sensor de Defender for Identity no se pudo iniciar durante al menos 30 minutos. | Este problema puede afectar a la capacidad de detectar actividades sospechosas procedentes de controladores de dominio supervisados por este sensor de Defender for Identity. | Supervise los registros del sensor de Defender for Identity para comprender la causa principal del error del servicio de sensor de Defender for Identity. | Alto | Pestaña Problemas de mantenimiento de sensores |
Sensor que dejó de comunicarse
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| No ha habido ninguna comunicación desde el sensor de Defender for Identity. El intervalo de tiempo predeterminado para esta alerta es de 5 minutos. | Esto indica que el sensor no pudo enviar datos o una señal de mantenimiento activo a los servicios de Defender for Identity durante un período superior al tiempo permitido. Esto suele sugerir un problema de red en el entorno que impidió la transmisión de datos o un reinicio del servidor que tardó más tiempo que el período de tiempo aceptable, lo que afecta a la capacidad de Defender for Identity para detectar actividades sospechosas. | Compruebe que los enrutadores o firewalls no bloqueen la comunicación entre el sensor de Defender for Identity y el servicio en la nube de Defender for Identity. | Mediano | Pestaña Problemas de mantenimiento de sensores |
Algunos eventos de Windows no se están analizando
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity recibe más eventos de los que puede procesar. | Algunos eventos de Windows no se están analizando. Esto puede afectar a la capacidad de detectar actividades sospechosas que se originen en controladores de dominio supervisados por este sensor de Defender for Identity. | Considere la posibilidad de agregar más procesadores y memoria según sea necesario. Si usa un sensor independiente de Defender for Identity, compruebe que solo los eventos necesarios se reenvíen al sensor. O bien, intente reenviar algunos eventos a otro sensor de Defender for Identity. | Mediano | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
No se pudo analizar el tráfico de red
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity recibe más tráfico de red del que puede procesar. | No se pudo analizar el tráfico de red. Este problema puede afectar a la capacidad de detectar actividades sospechosas que se originen en controladores de dominio supervisados por este sensor de Defender for Identity. | Considere la posibilidad de agregar más procesadores y memoria según sea necesario. Si usa un sensor independiente de Defender for Identity, reduzca el número de controladores de dominio que se supervisan. Este problema también puede producirse si usa controladores de dominio en máquinas virtuales de VMware. Para evitar estos problemas, puede comprobar que la siguiente configuración se establece en 0 o Deshabilitado en la máquina virtual (en el sistema operativo Windows, no en la configuración de VMware): - Descarga de envío grande V2 (IPv4) - Descarga de TSO IPv4 Los nombres pueden variar en función de la versión de VMware. Para obtener más información, consulte la documentación de VMware. |
Mediano | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
Algunos eventos ETW no se están analizando
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity recibe más eventos de seguimiento de eventos para Windows (ETW) de los que puede procesar. | Algunos eventos de Seguimiento de eventos para Windows (ETW) no se están analizando. Esto puede afectar a la capacidad de detectar actividades sospechosas que se originen en controladores de dominio supervisados por este sensor de Defender for Identity. | Considere la posibilidad de agregar más procesadores y memoria según sea necesario. | Mediano | Pestaña Problemas de mantenimiento de sensores y pestaña Problemas de mantenimiento globales |
Sensor que se ejecuta en un sistema operativo que pronto dejará de ser compatible
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity se ejecuta en un sistema operativo que pronto dejará de ser compatible. | Windows Server 2012 y 2012 R2 finalizaron el soporte técnico el 10 de octubre de 2023. Puede encontrar más detalles en: https://aka.ms/mdi/oseos | El sistema operativo del servidor debe actualizarse al sistema operativo compatible más reciente. Para obtener más información, consulte: https://aka.ms/mdi/os | Mediano | Pestaña Problemas de mantenimiento de sensores |
Sensor que se ejecuta en un sistema operativo no compatible
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity se ejecuta en un sistema operativo no compatible. | Windows Server 2012 y 2012 R2 finalizaron el soporte técnico el 10 de octubre de 2023. Puede encontrar más detalles en: https://aka.ms/mdi/oseos | El sistema operativo del servidor debe actualizarse al sistema operativo compatible más reciente. Para obtener más información, consulte: https://aka.ms/mdi/os | Alto | Pestaña Problemas de mantenimiento de sensores |
El sensor tiene problemas con el componente de captura de paquetes
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor de Defender for Identity usa controladores WinPcap en lugar de controladores Npcap. | Todos los clientes deben usar controladores Npcap en lugar de controladores WinPcap. A partir de la versión 2.184 de Defender for Identity, el paquete de instalación instala el OEM de Npcap 1.0. | Instale Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap | Alto | Pestaña Problemas de mantenimiento de sensores |
| El sensor de Defender for Identity ejecuta una versión de Npcap anterior a la versión mínima necesaria. | La versión mínima de Npcap admitida es la 1.0. A partir de la versión 2.184 de Defender for Identity, el paquete de instalación instala el OEM de Npcap 1.0. | Actualice Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap | Mediano | Pestaña Problemas de mantenimiento de sensores |
| El sensor de Defender for Identity ejecuta un componente Npcap que no está configurado según sea necesario. | A la instalación de Npcap le faltan las opciones de configuración necesarias. | Instale Npcap según las instrucciones que se describen en: https://aka.ms/mdi/npcap | Alto | Pestaña Problemas de mantenimiento de sensores |
La auditoría NTLM no está habilitada
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La auditoría NTLM no está habilitada. | La auditoría NTLM (para el identificador de evento 8004) no está habilitada en el servidor. (Esta configuración se valida una vez al día, por sensor). | Habilite eventos de auditoría NTLM de acuerdo con las instrucciones descritas en la sección Id. de evento 8004 , en la página Configurar la colección de eventos de Windows . | Mediano | Pestaña Problemas de mantenimiento de sensores |
La auditoría avanzada de Servicios de directorio no está habilitada según sea necesario
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La auditoría avanzada de Servicios de directorio no está habilitada según sea necesario. (Esta configuración se valida una vez al día, por sensor). | La configuración auditoría avanzada de Servicios de directorio no incluye todas las categorías y subcategorías según sea necesario. | Habilite los eventos de auditoría avanzada de Servicios de directorio. Para obtener más información, vea Configurar directivas de auditoría para registros de eventos de Windows. | Mediano | Pestaña Problemas de mantenimiento de sensores |
La auditoría de objetos de Servicios de directorio no está habilitada según sea necesario
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La auditoría de objetos de Servicios de directorio no está habilitada según sea necesario. (Esta configuración se valida una vez al día, por dominio). | La configuración de auditoría de objetos de Servicios de directorio no incluye todos los tipos de objeto y permisos según sea necesario. | Habilite los eventos de auditoría de objetos de Servicios de directorio de acuerdo con las instrucciones descritas en la sección Configurar auditoría de objetos de dominio , en la página Configurar colección de eventos de Windows . | Mediano | Pestaña Problemas de mantenimiento global |
La auditoría en el contenedor de configuración no está habilitada según sea necesario
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La auditoría en el contenedor de configuración no está habilitada según sea necesario. (Esta configuración se valida una vez al día, por dominio). | La auditoría de servicios de directorio en el contenedor de configuración del dominio no está habilitada según sea necesario. | Habilite la auditoría de servicios de directorio en el contenedor Configuración del dominio según las instrucciones que se describen en la sección Configurar directivas de auditoría , en la página Configurar colección de eventos de Windows . | Mediano | Pestaña Problemas de mantenimiento global |
La auditoría en el contenedor de ADFS no está habilitada según sea necesario
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| La auditoría en el contenedor de ADFS no está habilitada según sea necesario. (Esta configuración se valida una vez al día, por dominio). | La auditoría de servicios de directorio en el contenedor de ADFS no está habilitada según sea necesario. | Habilite la auditoría de servicios de directorio en el contenedor de ADFS según las instrucciones descritas en la sección Configurar auditoría en un Servicios de federación de Active Directory (AD FS) (AD FS), en la página Configurar la colección de eventos de Windows. | Mediano | Pestaña Problemas de mantenimiento global |
El modo de alimentación no está configurado para un rendimiento óptimo del procesador
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El modo de alimentación no está configurado para un rendimiento óptimo del procesador. (Esta configuración se valida una vez al día, por sensor). | El modo de alimentación del sistema operativo no está configurado para la configuración óptima del rendimiento del procesador. Este problema puede afectar al rendimiento del servidor y a la capacidad de los sensores para detectar actividades sospechosas. | Realiza una de las siguientes acciones: - Configuración de la opción de energía de la máquina que ejecuta el sensor de Defender for Identity para un alto rendimiento : establezca el estado mínimo y máximo del procesador en 100. Para obtener más información, consulte la sección Requisitos y recomendaciones del sensor en la página Requisitos previos de Defender for Identity . |
Bajo | Pestaña Problemas de mantenimiento de sensores |
El sensor no pudo escribir en la ruta de acceso de registro personalizada
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| El sensor no pudo escribir en la ruta de acceso de registro personalizada. | No se puede crear la ruta de acceso de registro personalizada proporcionada en la configuración del sensor. | 1. Detenga los AATPSensorUpdater servicios y AATPSensor . 2. Cambie en el SensorCustomLogLocation archivo de configuración del sensor a una ruta de acceso válida o establézcala en null. 3. Vuelva a iniciar los AATPSensorUpdater servicios y AATPSensor . |
Bajo | Pestaña Problemas de mantenimiento de sensores |
Errores de ingesta de datos de contabilidad radius (integración vpn)
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| Errores de ingesta de datos de contabilidad radius (integración vpn). | Los sensores de Defender for Identity enumerados tienen errores de ingesta de datos de contabilidad de radio (integración vpn). | Compruebe que el secreto compartido de la configuración de Defender for Identity coincide con el servidor VPN, según las instrucciones descritas en la sección Configurar VPN en Defender for Identity , en la página de integración de VPN de Defender for Identity . | Bajo | Página Problemas de mantenimiento |
No se pudo recuperar la configuración del servicio Microsoft Entra Connect
| Alerta | Descripción | Solución | Severity | Se muestra en |
|---|---|---|---|---|
| No se pudo recuperar la configuración del servicio Microsoft Entra Connect | El sensor no puede recuperar la configuración del servicio Microsoft Entra Connect (también conocido como sincronización Microsoft Azure AD). | Asegúrese de que el servicio de conexión de Microsoft Entra (Microsoft Azure AD Sync) se está ejecutando y siga las instrucciones de Configuración de permisos para la base de datos de Microsoft Entra Connect (ADSync) para conceder al sensor los permisos necesarios. Si el problema persiste, siga las instrucciones de solución de problemas de conectividad de SQL con Microsoft Entra Connect. | Mediano | Pestaña Problemas de mantenimiento de sensores |