Condividi tramite


problemi di integrità Microsoft Defender per identità

La pagina Microsoft Defender per identità Problemi di integrità elenca eventuali problemi di integrità correnti per la distribuzione e i sensori di Defender per identità, avvisando l'utente di eventuali problemi nella distribuzione di Defender per identità.

Pagina Problemi di integrità

La pagina Microsoft Defender per identità Problemi di integrità consente di sapere quando si verifica un problema con l'area di lavoro Defender per identità, generando un problema di integrità. Per accedere alla pagina, seguire questa procedura:

  1. In Microsoft Defender XDR selezionare Problemi di integrità in Identità.

  2. Viene visualizzata la pagina Problemi di integrità, in cui è possibile visualizzare i problemi di integrità sia per l'ambiente Defender per identità generale che per i sensori specifici.

    Defender per identità supporta i tipi di avvisi di integrità seguenti:

    • Problemi di integrità correlati al dominio o aggregati, elencati nella scheda Problemi di integrità globali
    • Problemi di integrità specifici del sensore, elencati nella scheda Problemi di integrità del sensore

    Filtrare i problemi in base allo stato, al nome del problema o alla gravità per individuare il problema che si sta cercando.

    Ad esempio:

    Screenshot della pagina Problemi di integrità.

  3. Selezionare qualsiasi problema per altri dettagli e l'opzione per chiudere o eliminare il problema. Ad esempio:

    Screenshot del riquadro dei dettagli di un problema di integrità.

Problemi di integrità

Questa sezione descrive tutti i problemi di integrità per ogni componente, elencando la causa e i passaggi necessari per risolvere il problema.

I problemi di integrità specifici del sensore vengono visualizzati nella scheda Problemi di integrità del sensore e i problemi di integrità correlati al dominio o aggregati vengono visualizzati nella scheda Problemi di integrità globali come descritto nelle tabelle seguenti:

Un controller di dominio non è raggiungibile da un sensore

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità ha funzionalità limitate a causa di problemi di connettività al controller di dominio configurato. Ciò influisce sulla capacità di Defender per identità di rilevare attività sospette correlate ai controller di dominio monitorati da questo sensore Defender per identità. Assicurarsi che i controller di dominio siano attivi e in esecuzione e che questo sensore Defender per identità possa aprire connessioni LDAP. Inoltre, in Impostazioni assicurarsi di configurare un account del servizio directory per ogni foresta distribuita. Medio Scheda Problemi di integrità dei sensori

Tutte/alcune schede di rete di acquisizione in un sensore non sono disponibili

Avviso Descrizione Risoluzione Gravità Visualizzato in
Tutte/Alcune delle schede di rete di acquisizione selezionate nel sensore Defender per identità sono disabilitate o disconnesse. Il traffico di rete per alcuni/tutti i controller di dominio non viene più acquisito dal sensore Defender per identità. Questo problema influisce sulla capacità di rilevare attività sospette, correlate a tali controller di dominio. Assicurarsi che queste schede di rete di acquisizione selezionate nel sensore Defender per identità siano abilitate e connesse. Medio Scheda Problemi di integrità dei sensori

Le credenziali utente dei servizi directory non sono corrette

Avviso Descrizione Risoluzione Gravità Visualizzato in
Le credenziali per l'account utente dei servizi directory non sono corrette. Questo problema influisce sulla capacità dei sensori di rilevare le attività che usano query LDAP sui controller di dominio. - Per un account AD standard : verificare che il nome utente, la password e il dominio nella pagina di configurazione dei servizi directory siano corretti.
- Per gli account del servizio gestito del gruppo: verificare che il nome utente e il dominio nella pagina di configurazione di Servizi directory siano corretti. Controllare anche tutti gli altri prerequisiti dell'account gMSA descritti nella pagina Raccomandazioni dell'account del servizio directory .
Medio Scheda Problemi di integrità globale

Bassa percentuale di esito positivo della risoluzione dei nomi attiva

Avviso Descrizione Risoluzione Gravità Visualizzato in
I sensori defender per identità elencati non riescono a risolvere gli indirizzi IP nei nomi dei dispositivi più del 90% delle volte usando i metodi seguenti:
- NTLM su RPC
-NetBIOS
- DNS inverso
Ciò influisce sulle funzionalità di rilevamento di Defender per identità e potrebbe aumentare il numero di allarmi falsi positivi. - Per NTLM su RPC: verificare che la porta 135 sia aperta per la comunicazione in ingresso dai sensori defender per identità in tutti i computer dell'ambiente.
- Per DNS inverso: verificare che i sensori possano raggiungere il server DNS e che le zone di ricerca inversa siano abilitate.
- Per NetBIOS: verificare che la porta 137 sia aperta per la comunicazione in ingresso dai sensori defender per identità in tutti i computer dell'ambiente.
Assicurarsi inoltre che la configurazione di rete,ad esempio i firewall, non impedisca la comunicazione con le porte pertinenti.
Bassa Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Nessun traffico ricevuto dal controller di dominio

Avviso Descrizione Risoluzione Gravità Visualizzato in
Nessun traffico ricevuto dal controller di dominio tramite questo sensore Defender per identità. Questo problema potrebbe indicare che il mirroring delle porte dai controller di dominio al sensore Defender per identità non è ancora configurato o non funziona. Verificare che il mirroring delle porte sia configurato correttamente nei dispositivi di rete.

Nella scheda di interfaccia di rete di acquisizione del sensore Defender per identità disabilitare queste funzionalità in Impostazioni avanzate:

Receive Segment Coalescing (IPv4)

Coalescing segmento di ricezione (IPv6)
Medio Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Password utente di sola lettura che scadrà a breve

Avviso Descrizione Risoluzione Gravità Visualizzato in
La password utente di sola lettura, usata per eseguire la risoluzione delle entità in Active Directory, sta per scadere tra meno di 30 giorni. Se la password per questo utente scade, tutti i sensori defender per identità vengono arrestati e non vengono raccolti nuovi dati. Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory . Medio Scheda Problemi di integrità globale

Password utente di sola lettura scaduta

Avviso Descrizione Risoluzione Gravità Visualizzato in
La password utente di sola lettura, usata per ottenere i dati della directory, è scaduta. Tutti i sensori defender per identità si arrestano o si arrestano a breve e non vengono raccolti nuovi dati. Modificare la password di connettività del dominio e quindi aggiornare la password dell'account del servizio directory . Fortemente Scheda Problemi di integrità globale

Sensore obsoleto

Avviso Descrizione Risoluzione Gravità Visualizzato in
Un sensore Defender per identità non è aggiornato. Un sensore Defender per identità esegue una versione che non è in grado di comunicare con l'infrastruttura cloud di Defender per identità. Aggiornare manualmente il sensore e verificare il motivo per cui il sensore non viene aggiornato automaticamente. Se questa opzione non funziona, scaricare il pacchetto di installazione del sensore più recente e disinstallare e reinstallare il sensore. Per altre informazioni, vedere Scaricare il sensore Microsoft Defender per identità e Installare il sensore Microsoft Defender per identità. Medio Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Il sensore ha raggiunto un limite di risorse di memoria

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità si è arrestato e viene riavviato automaticamente per proteggere il controller di dominio da una condizione di memoria insufficiente. Il sensore Defender per identità applica limitazioni di memoria per impedire al controller di dominio di riscontrare limitazioni delle risorse. Questo problema si verifica quando l'utilizzo della memoria nel controller di dominio è elevato. I dati di questo controller di dominio vengono monitorati solo in parte. Aumentare la quantità di memoria (RAM) nel controller di dominio o aggiungere altri controller di dominio in questo sito per distribuire meglio il carico di questo controller di dominio. Medio Scheda Problemi di integrità dei sensori

Impossibile avviare il servizio sensore

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il servizio sensore Defender per identità non è stato avviato per almeno 30 minuti. Questo problema può influire sulla capacità di rilevare attività sospette provenienti da controller di dominio monitorati da questo sensore Defender per identità. Monitorare i log del sensore Defender per identità per comprendere la causa radice dell'errore del servizio del sensore Defender per identità. Alto Scheda Problemi di integrità dei sensori

Il sensore ha smesso di comunicare

Avviso Descrizione Risoluzione Gravità Visualizzato in
Non è stata eseguita alcuna comunicazione dal sensore Defender per identità. L'intervallo di tempo predefinito per questo avviso è di 5 minuti. Ciò indica che il sensore non è riuscito a inviare dati o un segnale keep-alive ai servizi Defender per identità per un periodo che supera il tempo consentito. Ciò suggerisce in genere un problema di rete nell'ambiente che impediva la trasmissione dei dati o un riavvio del server che richiedeva più tempo dell'intervallo di tempo accettabile, influendo sulla capacità di Defender for Identity di rilevare attività sospette. Controllare che la comunicazione tra il sensore Defender per identità e il servizio cloud Defender per identità non sia bloccata da router o firewall. Medio Scheda Problemi di integrità dei sensori

Alcuni eventi di Windows non vengono analizzati

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità riceve più eventi di quanti ne possa elaborare. Alcuni eventi di Windows non vengono analizzati. Ciò può influire sulla capacità di rilevare le attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender per identità. Prendere in considerazione l'aggiunta di altri processori e memoria in base alle esigenze. Se si usa un sensore Defender per identità autonomo, verificare che solo gli eventi necessari vengano inoltrati al sensore. In alternativa, provare a inoltrare alcuni eventi a un altro sensore Defender per identità. Medio Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Impossibile analizzare il traffico di rete

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità riceve più traffico di rete di quello che può elaborare. Non è stato possibile analizzare il traffico di rete. Questo problema può influire sulla capacità di rilevare attività sospette provenienti da controller di dominio monitorati da questo sensore Defender per identità. Prendere in considerazione l'aggiunta di altri processori e memoria in base alle esigenze. Se si usa un sensore Defender per identità autonomo, ridurre il numero di controller di dominio monitorati.

Questo problema può verificarsi anche se si usano controller di dominio in macchine virtuali VMware. Per evitare questi problemi, è possibile verificare che le impostazioni seguenti siano impostate su 0 o Disabilitate nella macchina virtuale (nel sistema operativo Windows, non nelle impostazioni VMware):

- Large Send Offload V2 (IPv4)

- IPv4 TSO Offload

I nomi possono variare a seconda della versione di VMware. Per altre informazioni, vedere la documentazione di VMware.
Medio Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Alcuni eventi ETW non vengono analizzati

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità riceve più eventi ETW (Event Tracing for Windows) di quanti ne possa elaborare. Alcuni eventi ETW (Event Tracing for Windows) non vengono analizzati. Ciò può influire sulla capacità di rilevare le attività sospette provenienti dai controller di dominio monitorati da questo sensore Defender per identità. Prendere in considerazione l'aggiunta di altri processori e memoria in base alle esigenze. Medio Scheda Problemi di integrità dei sensori e scheda Problemi di integrità globali

Sensore in esecuzione in un sistema operativo che presto non sarà supportato

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità è in esecuzione in un sistema operativo che presto non sarà supportato. Windows Server 2012 e 2012 R2 hanno raggiunto la fine del supporto il 10 ottobre 2023. Altri dettagli possono essere disponibili all'indirizzo: https://aka.ms/mdi/oseos Il sistema operativo nel server deve essere aggiornato al sistema operativo supportato più recente. Per altri dettagli, vedere: https://aka.ms/mdi/os Medio Scheda Problemi di integrità dei sensori

Sensore in esecuzione in un sistema operativo non supportato

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità è in esecuzione in un sistema operativo non supportato. Windows Server 2012 e 2012 R2 hanno raggiunto la fine del supporto il 10 ottobre 2023. Altri dettagli sono disponibili all'indirizzo: https://aka.ms/mdi/oseos Il sistema operativo nel server deve essere aggiornato al sistema operativo supportato più recente. Per altri dettagli, vedere: https://aka.ms/mdi/os Fortemente Scheda Problemi di integrità dei sensori

Il sensore presenta problemi con il componente di acquisizione pacchetti

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore Defender per identità usa i driver WinPcap anziché i driver Npcap. Tutti i clienti devono usare i driver Npcap anziché i driver WinPcap. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM. Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap Alto Scheda Problemi di integrità dei sensori
Il sensore Defender per identità esegue una versione di Npcap precedente alla versione minima richiesta. La versione minima di Npcap supportata è 1.0. A partire da Defender per identità versione 2.184, il pacchetto di installazione installa Npcap 1.0 OEM. Aggiornare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap Medio Scheda Problemi di integrità dei sensori
Il sensore Defender per identità esegue un componente Npcap non configurato come richiesto. All'installazione di Npcap mancano le opzioni di configurazione necessarie. Installare Npcap in base alle indicazioni descritte in: https://aka.ms/mdi/npcap Alto Scheda Problemi di integrità dei sensori

Controllo NTLM non abilitato

Avviso Descrizione Risoluzione Gravità Visualizzato in
Controllo NTLM non abilitato. Il controllo NTLM (per l'ID evento 8004) non è abilitato nel server. Questa configurazione viene convalidata una volta al giorno, per ogni sensore. Abilitare gli eventi di controllo NTLM in base alle indicazioni descritte nella sezione ID evento 8004 nella pagina Configura raccolta eventi di Windows . Medio Scheda Problemi di integrità dei sensori

Il controllo avanzato di Servizi directory non è abilitato come richiesto

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il controllo avanzato di Servizi directory non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per ogni sensore. La configurazione di Controllo avanzato di Servizi directory non include tutte le categorie e le sottocategorie in base alle esigenze. Abilitare gli eventi di controllo avanzato di Servizi directory. Per altre informazioni, vedere Configurare i criteri di controllo per i log eventi di Windows. Medio Scheda Problemi di integrità dei sensori

Il controllo degli oggetti di Servizi directory non è abilitato come richiesto

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il controllo degli oggetti di Servizi directory non è abilitato in base alle esigenze. Questa configurazione viene convalidata una volta al giorno, per dominio. La configurazione del controllo oggetti di Servizi directory non include tutti i tipi di oggetto e le autorizzazioni in base alle esigenze. Abilitare gli eventi di controllo degli oggetti di Servizi directory in base alle indicazioni descritte nella sezione Configurare il controllo degli oggetti di dominio nella pagina Configura raccolta eventi di Windows . Medio Scheda Problemi di integrità globale

Il controllo nel contenitore di configurazione non è abilitato come richiesto

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il controllo nel contenitore di configurazione non è abilitato come richiesto. Questa configurazione viene convalidata una volta al giorno, per dominio. Il controllo di Servizi directory nel contenitore Configurazione del dominio non è abilitato come richiesto. Abilitare il controllo di Servizi directory nel contenitore Configurazione del dominio in base alle indicazioni descritte nella sezione Configura criteri di controllo nella pagina Configura raccolta eventi di Windows . Medio Scheda Problemi di integrità globale

Il controllo nel contenitore ADFS non è abilitato come richiesto

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il controllo nel contenitore ADFS non è abilitato come richiesto. Questa configurazione viene convalidata una volta al giorno, per dominio. Il controllo di Servizi directory nel contenitore ADFS non è abilitato come richiesto. Abilitare il controllo dei servizi directory nel contenitore ADFS in base alle indicazioni descritte nella sezione Configurare il controllo in un Active Directory Federation Services (AD FS) nella pagina Configura raccolta eventi di Windows. Medio Scheda Problemi di integrità globale

La modalità di alimentazione non è configurata per prestazioni ottimali del processore

Avviso Descrizione Risoluzione Gravità Visualizzato in
La modalità di alimentazione non è configurata per prestazioni ottimali del processore. Questa configurazione viene convalidata una volta al giorno, per ogni sensore. La modalità di alimentazione del sistema operativo non è configurata per le impostazioni ottimali delle prestazioni del processore. Questo problema può influire sulle prestazioni del server e sulla capacità dei sensori di rilevare attività sospette. Eseguire una delle operazioni seguenti:

- Configurare l'opzione di alimentazione del computer che esegue il sensore Defender per identità a prestazioni elevate
- Impostare lo stato del processore minimo e massimo su 100

Per altre informazioni, vedere la sezione Requisiti e raccomandazioni del sensore nella pagina Prerequisiti di Defender per identità .
Bassa Scheda Problemi di integrità dei sensori

Il sensore non è riuscito a scrivere nel percorso del log personalizzato

Avviso Descrizione Risoluzione Gravità Visualizzato in
Il sensore non è riuscito a scrivere nel percorso del log personalizzato. Non è possibile creare il percorso di log personalizzato fornito nella configurazione del sensore. 1. Arrestare i AATPSensorUpdater servizi e AATPSensor .
2. Impostare nel SensorCustomLogLocation file di configurazione del sensore un percorso valido o impostarlo su Null.
3. Avviare nuovamente i AATPSensorUpdater servizi e AATPSensor .
Bassa Scheda Problemi di integrità dei sensori

Errori di inserimento dei dati radius accounting (integrazione VPN)

Avviso Descrizione Risoluzione Gravità Visualizzato in
Errori di inserimento dei dati radius accounting (integrazione VPN). I sensori di Defender per identità elencati presentano errori di inserimento dei dati radius accounting (integrazione VPN). Verificare che il segreto condiviso nelle impostazioni di configurazione di Defender per identità corrisponda al server VPN, in base alle indicazioni descritte nella sezione Configurare vpn in Defender per identità nella pagina di integrazione vpn di Defender per identità . Bassa Pagina Problemi di integrità

Il sensore non è riuscito a recuperare Microsoft Entra configurazione del servizio Connect

Avviso Descrizione Risoluzione Gravità Visualizzato in
Impossibile recuperare Microsoft Entra configurazione del servizio Connect Il sensore non è in grado di recuperare la configurazione dal servizio Microsoft Entra Connect (noto anche come sincronizzazione Microsoft Azure AD). Assicurarsi che il servizio di connessione Microsoft Entra (Microsoft Azure AD Sync) sia in esecuzione e seguire le istruzioni riportate in Configurare le autorizzazioni per il database Microsoft Entra Connect (ADSync) per concedere al sensore le autorizzazioni necessarie. Se il problema persiste, seguire le indicazioni per la risoluzione dei problemi di connettività SQL con Microsoft Entra Connect. Medio Scheda Problemi di integrità dei sensori

Passaggi successivi