problemas de estado de funcionamento do Microsoft Defender para Identidade
A página problemas do Microsoft Defender para Identidade Health lista quaisquer problemas de estado de funcionamento atuais para a implementação e sensores do Defender para Identidade, alertando-o para quaisquer problemas na implementação do Defender para Identidade.
Página de problemas de estado de funcionamento
A página problemas do Microsoft Defender para Identidade Health informa-o quando existe um problema com a área de trabalho do Defender para Identidade, ao criar um problema de estado de funcionamento. Para aceder à página, siga estes passos:
Em Microsoft Defender XDR, em Identidades, selecione Problemas de estado de funcionamento.
É apresentada a página Problemas de estado de funcionamento, onde pode ver problemas de estado de funcionamento do ambiente geral do Defender para Identidade e sensores específicos.
O Defender para Identidade suporta os seguintes tipos de alertas de estado de funcionamento:
- Problemas de estado de funcionamento agregado ou relacionados com domínios, listados no separador Problemas de estado de funcionamento global
- Problemas de estado de funcionamento específicos do sensor, listados no separador Problemas de estado de funcionamento do sensor
Filtre os problemas por estado, nome do problema ou gravidade para o ajudar a encontrar o problema que procura.
Por exemplo:
Selecione qualquer problema para obter mais detalhes e a opção para fechar ou suprimir o problema. Por exemplo:
Problemas de estado de funcionamento
Esta secção descreve todos os problemas de estado de funcionamento de cada componente, listando a causa e os passos necessários para resolver o problema.
Os problemas de estado de funcionamento específicos do sensor são apresentados no separador Problemas de estado de funcionamento do sensor e os problemas de estado de funcionamento agregados ou relacionados com o domínio são apresentados no separador Problemas de estado de funcionamento global, conforme detalhado nas seguintes tabelas:
Um controlador de domínio está inacessível por um sensor
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade tem funcionalidades limitadas devido a problemas de conectividade ao controlador de domínio configurado. | Isto afeta a capacidade do Defender para Identidade de detetar atividades suspeitas relacionadas com controladores de domínio monitorizados por este sensor do Defender para Identidade. | Certifique-se de que os controladores de domínio estão em execução e que este sensor do Defender para Identidade pode abrir ligações LDAP aos mesmos. Além disso, em Definições , certifique-se de que configura uma conta de Serviço de Diretório para cada floresta implementada. | Média | Separador Problemas de estado de funcionamento dos sensores |
Todos/Alguns dos adaptadores de rede de captura num sensor não estão disponíveis
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Todos/Alguns dos adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão desativados ou desligados. | O tráfego de rede para alguns/todos os controladores de domínio já não é capturado pelo sensor do Defender para Identidade. Este problema afeta a capacidade de detetar atividades suspeitas relacionadas com esses controladores de domínio. | Certifique-se de que estes adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão ativados e ligados. | Média | Separador Problemas de estado de funcionamento dos sensores |
As credenciais de utilizador dos serviços de diretório estão incorretas
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| As credenciais da conta de utilizador dos serviços de diretório estão incorretas. | Este problema afeta a capacidade dos sensores de detetar atividades através de consultas LDAP em controladores de domínio. | - Para contas padrão do AD: verifique se o nome de utilizador, a palavra-passe e o domínio na página de configuração dos Serviços de diretório estão corretos. - Para contas de serviço geridas de grupo: verifique se o nome de utilizador e o domínio na página de configuração dos Serviços de Diretório estão corretos. Verifique também todos os outros pré-requisitos da conta gMSA descritos na página Recomendações da conta do Serviço de Diretório . |
Média | Separador Problemas de estado de funcionamento global |
Baixa taxa de êxito da resolução de nomes ativos
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Os sensores do Defender para Identidade listados não conseguem resolver os endereços IP para nomes de dispositivos mais de 90% do tempo com os seguintes métodos: - NTLM através de RPC - NetBIOS - DNS Inverso |
Isto afeta as capacidades de deteção do Defender para Identidade e pode aumentar o número de alarmes falsos positivos. | - NTLM através de RPC: verifique se a porta 135 está aberta para comunicação de entrada a partir dos sensores do Defender para Identidade em todos os computadores no ambiente. - DNS inverso: verifique se os sensores conseguem aceder ao servidor DNS e se as Zonas de Pesquisa Inversa estão ativadas. - NetBIOS: verifique se a porta 137 está aberta para comunicação de entrada a partir dos sensores do Defender para Identidade em todos os computadores no ambiente. Além disso, certifique-se de que a configuração de rede (como firewalls) não está a impedir a comunicação com as portas relevantes. |
Baixo | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
Nenhum tráfego recebido do controlador de domínio
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Não foi recebido tráfego do controlador de domínio através deste sensor do Defender para Identidade. | Este problema pode indicar que o espelhamento de porta dos controladores de domínio para o sensor do Defender para Identidade ainda não está configurado ou não está a funcionar. | Verifique se o espelhamento de porta está configurado corretamente nos seus dispositivos de rede. Na NIC de captura do sensor do Defender para Identidade, desative estas funcionalidades em Definições Avançadas: Agrupamento de Segmentos de Receção (IPv4) Agrupamento de Segmentos de Receção (IPv6) |
Média | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
Palavra-passe de utilizador só de leitura para expirar em breve
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A palavra-passe de utilizador só de leitura, utilizada para efetuar a resolução de entidades no Active Directory, está prestes a expirar em menos de 30 dias. | Se a palavra-passe deste utilizador expirar, todos os sensores do Defender para Identidade deixarão de ser executados e não são recolhidos novos dados. | Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe da conta do Serviço de Diretório . | Média | Separador Problemas de estado de funcionamento global |
Palavra-passe de utilizador só de leitura expirada
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A palavra-passe de utilizador só de leitura, utilizada para obter dados de diretório, expirou. | Todos os sensores do Defender para Identidade deixam de ser executados ou deixarão de ser executados em breve e não são recolhidos novos dados. | Altere a palavra-passe de conectividade do domínio e, em seguida, atualize a palavra-passe da conta do Serviço de Diretório . | High | Separador Problemas de estado de funcionamento global |
Sensor desatualizado
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Um sensor do Defender para Identidade está desatualizado. | Um sensor do Defender para Identidade está a executar uma versão que não consegue comunicar com a infraestrutura de cloud do Defender para Identidade. | Atualize manualmente o sensor e verifique por que motivo o sensor não está a atualizar automaticamente. Se esta opção não funcionar, transfira o pacote de instalação do sensor mais recente e desinstale e reinstale o sensor. Para obter mais informações, consulte Transferir o sensor de Microsoft Defender para Identidade e Instalar o sensor Microsoft Defender para Identidade. | Média | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
O sensor atingiu um limite de recursos de memória
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade parou e reinicia automaticamente para proteger o controlador de domínio de uma condição de memória baixa. | O sensor do Defender para Identidade impõe limitações de memória a si próprio para impedir que o controlador de domínio tenha limitações de recursos. Este problema ocorre quando a utilização da memória no controlador de domínio é elevada. Os dados deste controlador de domínio são apenas parcialmente monitorizados. | Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio neste site para distribuir melhor a carga deste controlador de domínio. | Média | Separador Problemas de estado de funcionamento dos sensores |
Falha ao iniciar o serviço de sensor
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O serviço de sensor do Defender para Identidade não foi iniciado durante, pelo menos, 30 minutos. | Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que são monitorizados por este sensor do Defender para Identidade. | Monitorize os registos do sensor do Defender para Identidade para compreender a causa da falha do serviço de sensor do Defender para Identidade. | High | Separador Problemas de estado de funcionamento dos sensores |
O sensor deixou de comunicar
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Não houve comunicação do sensor do Defender para Identidade. O intervalo de tempo predefinido para este alerta é de 5 minutos. | Isto indica que o sensor não conseguiu enviar dados ou um sinal keep-alive para os serviços do Defender para Identidade durante um período que excedeu o tempo permitido. Normalmente, isto sugere um problema de rede no ambiente que impedia a transmissão de dados ou um reinício do servidor que demorou mais do que o período de tempo aceitável, afetando a capacidade do Defender para Identidade de detetar atividades suspeitas. | Verifique se a comunicação entre o sensor do Defender para Identidade e o serviço cloud do Defender para Identidade não é bloqueada por routers ou firewalls. | Média | Separador Problemas de estado de funcionamento dos sensores |
Alguns eventos do Windows não estão a ser analisados
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está a receber mais eventos do que pode processar. | Alguns eventos do Windows não estão a ser analisados. Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. Se estiver a utilizar um sensor autónomo do Defender para Identidade, verifique se apenas os eventos necessários são reencaminhados para o sensor. Em alternativa, experimente reencaminhar alguns eventos para outro sensor do Defender para Identidade. | Média | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
Não foi possível analisar algum tráfego de rede
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está a receber mais tráfego de rede do que pode processar. | Não foi possível analisar algum tráfego de rede. Este problema pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. Se estiver a utilizar um sensor autónomo do Defender para Identidade, reduza o número de controladores de domínio que estão a ser monitorizados. Este problema também pode ocorrer se estiver a utilizar controladores de domínio em máquinas virtuais VMware. Para evitar estes problemas, pode verificar se as seguintes definições estão definidas como 0 ou Desativadas na máquina virtual (no SO Windows, não nas definições do VMware): - Descarga de Envio Grande V2 (IPv4) - Descarga de TSO IPv4 Os nomes podem variar consoante a sua versão do VMware. Para obter mais informações, veja a documentação do VMware. |
Média | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
Alguns eventos etw não estão a ser analisados
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está a receber mais eventos de Rastreio de Eventos para Windows (ETW) do que pode processar. | Alguns eventos de Rastreio de Eventos para Windows (ETW) não estão a ser analisados. Isto pode afetar a capacidade de detetar atividades suspeitas provenientes de controladores de domínio que estão a ser monitorizados por este sensor do Defender para Identidade. | Considere adicionar mais processadores e memória conforme necessário. | Média | Separador Problemas de estado de funcionamento dos sensores e separador Problemas de estado de funcionamento global |
Sensor em execução num sistema operativo que em breve deixará de ser suportado
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está em execução num sistema operativo que em breve deixará de ser suportado. | Windows Server 2012 e 2012 R2 atingiram o fim do suporte a 10 de outubro de 2023. Pode encontrar mais detalhes em: https://aka.ms/mdi/oseos | O sistema operativo no servidor deve ser atualizado para o sistema operativo suportado mais recente. Para obter mais detalhes, consulte: https://aka.ms/mdi/os | Média | Separador Problemas de estado de funcionamento dos sensores |
Sensor em execução num sistema operativo não suportado
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está em execução num sistema operativo não suportado. | Windows Server 2012 e 2012 R2 atingiram o fim do suporte a 10 de outubro de 2023. Pode encontrar mais detalhes em: https://aka.ms/mdi/oseos | O sistema operativo no servidor deve ser atualizado para o sistema operativo suportado mais recente. Para obter mais detalhes, consulte: https://aka.ms/mdi/os | High | Separador Problemas de estado de funcionamento dos sensores |
O sensor tem problemas com o componente de captura de pacotes
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor do Defender para Identidade está a utilizar controladores WinPcap em vez de controladores Npcap. | Todos os clientes devem utilizar controladores Npcap em vez dos controladores WinPcap. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o OEM Npcap 1.0. | Instale o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | High | Separador Problemas de estado de funcionamento dos sensores |
| O sensor do Defender para Identidade está a executar uma versão Npcap anterior à versão mínima necessária. | A versão mínima do Npcap suportada é 1.0. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o OEM Npcap 1.0. | Atualize o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | Média | Separador Problemas de estado de funcionamento dos sensores |
| O sensor do Defender para Identidade está a executar um componente Npcap que não está configurado conforme necessário. | A instalação do Npcap não tem as opções de configuração necessárias. | Instale o Npcap de acordo com a documentação de orientação descrita em: https://aka.ms/mdi/npcap | High | Separador Problemas de estado de funcionamento dos sensores |
A Auditoria NTLM não está ativada
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A Auditoria NTLM não está ativada. | A Auditoria NTLM (para o ID de evento 8004) não está ativada no servidor. (Esta configuração é validada uma vez por dia, por sensor). | Ative eventos de Auditoria NTLM de acordo com a documentação de orientação descrita na secção ID do Evento 8004 , na página Configurar coleção de Eventos do Windows . | Média | Separador Problemas de estado de funcionamento dos sensores |
A Auditoria Avançada dos Serviços de Diretório não está ativada conforme necessário
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A Auditoria Avançada dos Serviços de Diretório não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por sensor). | A configuração de Auditoria Avançada dos Serviços de Diretório não inclui todas as categorias e subcategorias conforme necessário. | Ative os eventos de Auditoria Avançada dos Serviços de Diretório. Para obter mais informações, veja Configurar políticas de auditoria para registos de eventos do Windows. | Média | Separador Problemas de estado de funcionamento dos sensores |
A Auditoria de Objetos dos Serviços de Diretório não está ativada conforme necessário
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A Auditoria de Objetos dos Serviços de Diretório não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A configuração de Auditoria de Objetos dos Serviços de Diretório não inclui todos os tipos de objetos e permissões conforme necessário. | Ative os eventos de Auditoria de Objetos dos Serviços de Diretório de acordo com a documentação de orientação descrita na secção Configurar auditoria de objetos de domínio , na página Configurar recolha de Eventos do Windows . | Média | Separador Problemas de estado de funcionamento global |
A auditoria no contentor de Configuração não está ativada conforme necessário
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A auditoria no contentor de Configuração não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A Auditoria dos Serviços de Diretório no contentor de Configuração do Domínio não está ativada conforme necessário. | Ative a Auditoria dos Serviços de Diretório no contentor de Configuração do Domínio de acordo com a documentação de orientação, conforme descrito na secção Configurar Políticas de Auditoria , na página Configurar recolha de Eventos do Windows . | Média | Separador Problemas de estado de funcionamento global |
A auditoria no contentor do ADFS não está ativada conforme necessário
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| A auditoria no contentor do ADFS não está ativada conforme necessário. (Esta configuração é validada uma vez por dia, por domínio). | A Auditoria dos Serviços de Diretório no contentor do ADFS não está ativada conforme necessário. | Ative a Auditoria dos Serviços de Diretório no contentor do ADFS de acordo com a documentação de orientação descrita na secção Configurar a auditoria num Serviços de Federação do Active Directory (AD FS) (AD FS), na página Configurar recolha de Eventos do Windows. | Média | Separador Problemas de estado de funcionamento global |
O modo de energia não está configurado para um desempenho ideal do processador
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O modo de energia não está configurado para um desempenho ideal do processador. (Esta configuração é validada uma vez por dia, por sensor). | O modo de energia do sistema operativo não está configurado para as definições de desempenho do processador ideais. Este problema pode afetar o desempenho do servidor e a capacidade dos sensores de detetar atividades suspeitas. | Efetue um dos seguintes procedimentos: - Configurar a opção de energia do computador que executa o sensor do Defender para Identidade para Elevado Desempenho - Defina o estado do processador mínimo e máximo como 100 Para obter mais informações, veja a secção Requisitos e recomendações do sensor na página de pré-requisitos do Defender para Identidade . |
Baixo | Separador Problemas de estado de funcionamento dos sensores |
O sensor não conseguiu escrever no caminho de registo personalizado
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| O sensor não conseguiu escrever no caminho de registo personalizado. | Não é possível criar o caminho de registo personalizado fornecido na configuração do sensor. | 1. Pare os AATPSensorUpdater serviços e AATPSensor . 2. Altere o SensorCustomLogLocation no ficheiro de configuração do sensor para um caminho válido ou defina-o como nulo. 3. Inicie os AATPSensorUpdater serviços e AATPSensor novamente. |
Baixo | Separador Problemas de estado de funcionamento dos sensores |
Falhas na ingestão de dados da contabilidade radius (integração de VPN)
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Falhas na ingestão de dados da conta radius (integração de VPN). | Os sensores do Defender para Identidade listados têm falhas de ingestão de dados de contabilidade radius (integração de VPN). | Confirme que o segredo partilhado nas definições de configuração do Defender para Identidade corresponde ao servidor VPN, de acordo com a documentação de orientação descrita na secção Configurar VPN no Defender para Identidade , na página de integração da VPN do Defender para Identidade . | Baixo | Página de problemas de estado de funcionamento |
O sensor não conseguiu obter a configuração do serviço Microsoft Entra Connect
| Alerta | Descrição | Resolução | Gravidade | Apresentado em |
|---|---|---|---|---|
| Falha ao obter a configuração do serviço Microsoft Entra Connect | O sensor não consegue obter a configuração do serviço Microsoft Entra Connect (também conhecido como sincronização Microsoft Azure AD). | Certifique-se de que o serviço Microsoft Entra connect (Microsoft Azure AD Sync) está em execução e siga as instruções em Configurar permissões para a base de dados do Microsoft Entra Connect (ADSync) para conceder ao sensor as permissões necessárias. Se o problema persistir, siga a documentação de orientação de resolução de problemas em Problemas de conectividade do SQL com o Microsoft Entra Connect. | Média | Separador Problemas de estado de funcionamento dos sensores |