Problem med Microsoft Defender för identitetshälsa
På sidan Problem med Microsoft Defender för identitetshälsa visas eventuella aktuella hälsoproblem för din Defender för identitetsdistribution och sensorer, där du varnas om eventuella problem i din Defender för identitetsdistribution.
Sidan Problem med hälsotillstånd
På sidan Problem med Microsoft Defender för identitetshälsa får du veta när det uppstår problem med din Defender för identitetsarbetsyta genom att skapa ett hälsoproblem. Följ dessa steg för att komma åt sidan:
I Microsoft Defender XDR går du till Identiteter och väljer Hälsoproblem.
Sidan Hälsoproblem visas, där du kan se hälsoproblem för både din allmänna Defender för identitetsmiljö och specifika sensorer.
Defender for Identity stöder följande typer av hälsoaviseringar:
- Domänrelaterade eller aggregerade hälsoproblem, listade på fliken Globala hälsoproblem
- Sensorspecifika hälsoproblem, som visas på fliken Problem med sensorhälsa
Filtrera problem efter status, problemnamn eller allvarlighetsgrad som hjälper dig att hitta det problem du letar efter.
Till exempel:
Välj eventuella problem för mer information och alternativet för att stänga eller utelämna problemet. Till exempel:
Hälsoproblem
I det här avsnittet beskrivs alla hälsoproblem för varje komponent, med en lista över orsaken och de steg som krävs för att lösa problemet.
Sensorspecifika hälsoproblem visas på fliken Problem med sensorhälsa och domänrelaterade eller aggregerade hälsoproblem visas på fliken Globala hälsoproblem enligt beskrivningen i följande tabeller:
En domänkontrollant kan inte nås av en sensor
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn har begränsade funktioner på grund av anslutningsproblem med den konfigurerade domänkontrollanten. | Detta påverkar Defender for Identitys förmåga att identifiera misstänkta aktiviteter relaterade till domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Kontrollera att domänkontrollanterna är igång och att den här Defender for Identity-sensorn kan öppna LDAP-anslutningar till dem. I Inställningar ser du dessutom till att konfigurera ett Katalogtjänstkonto för varje distribuerad skog. | Medium | Fliken Problem med sensorers hälsotillstånd |
Alla/vissa av nätverkskorten för avbildning på en sensor är inte tillgängliga
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Alla/några av de valda nätverkskorten för avbildning på Defender for Identity-sensorn är inaktiverade eller frånkopplade. | Nätverkstrafik för vissa/alla domänkontrollanter registreras inte längre av Defender for Identity-sensorn. Det här problemet påverkar möjligheten att identifiera misstänkta aktiviteter som är relaterade till dessa domänkontrollanter. | Kontrollera att de valda avbildningsnätverkskorten på Defender for Identity-sensorn är aktiverade och anslutna. | Medium | Fliken Problem med sensorers hälsotillstånd |
Autentiseringsuppgifterna för katalogtjänstanvändaren är felaktiga
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Autentiseringsuppgifterna för katalogtjänstanvändarkontot är felaktiga. | Det här problemet påverkar sensorernas förmåga att identifiera aktiviteter med hjälp av LDAP-frågor mot domänkontrollanter. | – För ett AD-standardkonto : Kontrollera att användarnamnet, lösenordet och domänen på konfigurationssidan för Katalogtjänster är korrekta. – För grupphanterade tjänstkonton: Kontrollera att användarnamnet och domänen på konfigurationssidan för Directory Services är korrekta. Kontrollera även alla andra krav för gMSA-kontot som beskrivs på sidan rekommendationer för Katalogtjänstkonto. |
Medium | Fliken Globala hälsoproblem |
Låg framgångsfrekvens för aktiv namnmatchning
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| De listade Defender for Identity-sensorerna kan inte matcha IP-adresser till enhetsnamn mer än 90 % av tiden med hjälp av följande metoder: - NTLM över RPC -Netbios – Omvänd DNS |
Detta påverkar defender for Identitys identifieringsfunktioner och kan öka antalet falska positiva larm. | – För NTLM via RPC: Kontrollera att port 135 är öppen för inkommande kommunikation från Defender för identitetssensorer på alla datorer i miljön. – För omvänd DNS: Kontrollera att sensorerna kan nå DNS-servern och att omvända uppslagszoner är aktiverade. – För NetBIOS: Kontrollera att port 137 är öppen för inkommande kommunikation från Defender för identitetssensorer på alla datorer i miljön. Se dessutom till att nätverkskonfigurationen (till exempel brandväggar) inte förhindrar kommunikation till relevanta portar. |
Låg | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
Ingen trafik har tagits emot från domänkontrollanten
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Ingen trafik togs emot från domänkontrollanten via den här Defender for Identity-sensorn. | Det här problemet kan tyda på att portspegling från domänkontrollanterna till Defender for Identity-sensorn inte har konfigurerats än eller inte fungerar. | Kontrollera att portspegling har konfigurerats korrekt på dina nätverksenheter. Inaktivera de här funktionerna i Avancerade inställningar på NIC för Defender for Identity-sensorn: Ta emot segmentkolescing (IPv4) Ta emot segmentkolescing (IPv6) |
Medium | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
Skrivskyddat användarlösenord upphör snart att gälla
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Det skrivskyddade användarlösenordet, som används för att lösa entiteter mot Active Directory, upphör snart att gälla om mindre än 30 dagar. | Om lösenordet för den här användaren upphör att gälla slutar alla Defender for Identity-sensorer att köras och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera sedan lösenordet för katalogtjänstens konto . | Medium | Fliken Globala hälsoproblem |
Skrivskyddat användarlösenord har upphört att gälla
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Det skrivskyddade användarlösenordet, som används för att hämta katalogdata, har upphört att gälla. | Alla Defender for Identity-sensorer slutar att köras eller kommer att sluta köras snart och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera sedan lösenordet för katalogtjänstens konto . | Högt | Fliken Globala hälsoproblem |
Sensorn är inaktuell
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| En Defender for Identity-sensor är inaktuell. | En Defender for Identity-sensor kör en version som inte kan kommunicera med molninfrastrukturen Defender for Identity. | Uppdatera sensorn manuellt och kontrollera varför sensorn inte uppdateras automatiskt. Om det här alternativet inte fungerar laddar du ned det senaste sensorinstallationspaketet och avinstallerar och installerar om sensorn. Mer information finns i Ladda ned Microsoft Defender för identitetssensor och Installera Microsoft Defender för identitetssensor. | Medium | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
Sensorn har nått en minnesresursgräns
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn stoppade sig själv och startas om automatiskt för att skydda domänkontrollanten från ett låg minnestillstånd. | Defender for Identity-sensorn tillämpar minnesbegränsningar på sig själv för att förhindra att domänkontrollanten upplever resursbegränsningar. Det här problemet uppstår när minnesanvändningen på domänkontrollanten är hög. Data från den här domänkontrollanten övervakas endast delvis. | Öka mängden minne (RAM) på domänkontrollanten eller lägg till fler domänkontrollanter på den här webbplatsen för att bättre distribuera belastningen på den här domänkontrollanten. | Medium | Fliken Problem med sensorers hälsotillstånd |
Sensortjänsten kunde inte starta
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensortjänsten kunde inte starta i minst 30 minuter. | Det här problemet kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Övervaka Defender for Identity-sensorloggar för att förstå rotorsaken till defender för identitetssensortjänstens fel. | Högt | Fliken Problem med sensorers hälsotillstånd |
Sensorn slutade kommunicera
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Det har inte förekommit någon kommunikation från Defender for Identity-sensorn. Standardtidsintervallet för den här aviseringen är 5 minuter. | Nätverkstrafiken registreras inte längre av nätverkskortet på Defender for Identity-sensorn. Detta påverkar Defender for Identitys förmåga att identifiera misstänkta aktiviteter, eftersom nätverkstrafik inte kan nå molntjänsten Defender för identitet. | Kontrollera att porten som används för kommunikationen mellan Defender för identitetssensorn och defender för identitetsmolntjänsten inte blockeras av några routrar eller brandväggar. | Medium | Fliken Problem med sensorers hälsotillstånd |
Vissa Windows-händelser analyseras inte
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot fler händelser än den kan bearbeta. | Vissa Windows-händelser analyseras inte. Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. Om du använder en fristående Defender for Identity-sensor kontrollerar du att endast nödvändiga händelser vidarebefordras till sensorn. Eller prova att vidarebefordra vissa händelser till en annan Defender for Identity-sensor. | Medium | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
En del av nätverkstrafiken kunde inte analyseras
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot mer nätverkstrafik än den kan bearbeta. | Det gick inte att analysera viss nätverkstrafik. Det här problemet kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. Om du använder en fristående Defender for Identity-sensor minskar du antalet domänkontrollanter som övervakas. Det här problemet kan också inträffa om du använder domänkontrollanter på virtuella VMware-datorer. För att undvika dessa problem kan du kontrollera att följande inställningar är inställda på 0 eller Inaktiverade på den virtuella datorn (i Windows-operativsystemet, inte i VMware-inställningarna): - Stor skicka avlastning V2 (IPv4) - IPv4 TSO-avlastning Namnen kan variera beroende på din VMware-version. Mer information finns i VMware-dokumentationen. |
Medium | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
Vissa ETW-händelser analyseras inte
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn tar emot fler händelsespårning för Windows-händelser (ETW) än vad som kan bearbetas. | Vissa händelsespårning för Windows-händelser (ETW) analyseras inte. Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här Defender for Identity-sensorn. | Överväg att lägga till fler processorer och minne efter behov. | Medium | Fliken Problem med sensorers hälsotillstånd och fliken Globala hälsoproblem |
Sensor som körs på ett operativsystem som snart inte stöds
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn körs på ett operativsystem som snart inte stöds. | Windows Server 2012 och 2012 R2 upphörde den 10 oktober 2023. Mer information kan vara fount på: https://aka.ms/mdi/oseos | Operativsystemet på servern bör uppgraderas till det senaste operativsystem som stöds. Mer information finns i: https://aka.ms/mdi/os | Medium | Fliken Problem med sensorers hälsotillstånd |
Sensor som körs på ett operativsystem som inte stöds
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn körs på ett operativsystem som inte stöds. | Windows Server 2012 och 2012 R2 upphörde den 10 oktober 2023. Mer information finns på: https://aka.ms/mdi/oseos | Operativsystemet på servern bör uppgraderas till det senaste operativsystem som stöds. Mer information finns i: https://aka.ms/mdi/os | Högt | Fliken Problem med sensorers hälsotillstånd |
Sensorn har problem med paketfångstkomponenten
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Defender for Identity-sensorn använder WinPcap-drivrutiner i stället för Npcap-drivrutiner. | Alla kunder bör använda Npcap-drivrutiner i stället för WinPcap-drivrutiner. Från och med Defender för identitet version 2.184 installerar installationspaketet Npcap 1.0 OEM. | Installera Npcap enligt riktlinjerna enligt beskrivningen i: https://aka.ms/mdi/npcap | Högt | Fliken Problem med sensorers hälsotillstånd |
| Defender for Identity-sensorn kör en Npcap-version som är äldre än den lägsta version som krävs. | Den lägsta Npcap-versionen som stöds är 1.0. Från och med Defender för identitet version 2.184 installerar installationspaketet Npcap 1.0 OEM. | Uppgradera Npcap enligt vägledningen enligt beskrivningen i: https://aka.ms/mdi/npcap | Medium | Fliken Problem med sensorers hälsotillstånd |
| Defender for Identity-sensorn kör en Npcap-komponent som inte har konfigurerats efter behov. | Npcap-installationen saknar de konfigurationsalternativ som krävs. | Installera Npcap enligt riktlinjerna enligt beskrivningen i: https://aka.ms/mdi/npcap | Högt | Fliken Problem med sensorers hälsotillstånd |
NTLM-granskning är inte aktiverat
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| NTLM-granskning är inte aktiverat. | NTLM-granskning (för händelse-ID 8004) är inte aktiverat på servern. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Aktivera NTLM-granskningshändelser enligt riktlinjerna enligt beskrivningen i avsnittet Händelse-ID 8004 på sidan Konfigurera Windows-händelsesamling . | Medium | Fliken Problem med sensorers hälsotillstånd |
Avancerad granskning för Directory Services är inte aktiverat efter behov
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Avancerad granskning för Directory Services är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Konfigurationen för avancerad granskning i Directory Services innehåller inte alla kategorier och underkategorier efter behov. | Aktivera händelser för avancerad granskning i Directory Services. Mer information finns i Konfigurera granskningsprinciper för Windows-händelseloggar. | Medium | Fliken Problem med sensorers hälsotillstånd |
Objektgranskning i Directory Services är inte aktiverat efter behov
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Objektgranskning i Directory Services är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Objektgranskningskonfigurationen för Directory Services innehåller inte alla objekttyper och behörigheter efter behov. | Aktivera objektgranskningshändelser för Directory Services enligt vägledningen enligt beskrivningen i avsnittet Konfigurera granskning av domänobjekt på sidan Konfigurera Windows-händelsesamling . | Medium | Fliken Globala hälsoproblem |
Granskning av konfigurationscontainern är inte aktiverat efter behov
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Granskning av konfigurationscontainern är inte aktiverat vid behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Directory Services-granskning på domänens konfigurationscontainer är inte aktiverad efter behov. | Aktivera Directory Services-granskning i domänens konfigurationscontainer enligt riktlinjerna enligt beskrivningen i avsnittet Konfigurera granskningsprinciper på sidan Konfigurera Windows-händelsesamling . | Medium | Fliken Globala hälsoproblem |
Granskning av ADFS-containern är inte aktiverat efter behov
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Granskning av ADFS-containern är inte aktiverat efter behov. (Den här konfigurationen verifieras en gång om dagen, per domän). | Directory Services-granskning på ADFS-containern är inte aktiverad efter behov. | Aktivera Directory Services-granskning i ADFS-containern enligt riktlinjerna enligt beskrivningen i avsnittet Konfigurera granskning på en Active Directory Federation Services (AD FS) (AD FS) på sidan Konfigurera Windows-händelsesamling. | Medium | Fliken Globala hälsoproblem |
Energiläget har inte konfigurerats för optimal processorprestanda
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Energiläget har inte konfigurerats för optimal processorprestanda. (Den här konfigurationen verifieras en gång om dagen, per sensor). | Operativsystemets energiläge är inte konfigurerat för optimala processorprestandainställningar. Det här problemet kan påverka serverns prestanda och sensorernas förmåga att identifiera misstänkta aktiviteter. | Gör något av följande: – Konfigurera energialternativet för datorn som kör Defender for Identity-sensorn till Höga prestanda – Ange både det lägsta och högsta processortillståndet till 100 Mer information finns i avsnittet Sensorkrav och rekommendationer på sidan Krav för Defender för identitet. |
Låg | Fliken Problem med sensorers hälsotillstånd |
Sensorn kunde inte skriva till den anpassade loggsökvägen
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Sensorn kunde inte skriva till den anpassade loggsökvägen. | Det går inte att skapa den anpassade loggsökvägen i sensorkonfigurationen. | 1. Stoppa AATPSensorUpdater tjänsterna och AATPSensor . 2. Ändra SensorCustomLogLocation i sensorkonfigurationsfilen till en giltig sökväg eller ställ in den på null. 3. Starta AATPSensorUpdater tjänsterna och AATPSensor igen. |
Låg | Fliken Problem med sensorers hälsotillstånd |
Datainmatningsfel för Radius-redovisning (VPN-integrering)
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Datainmatningsfel för RADIUS-redovisning (VPN-integrering). | De listade Defender for Identity-sensorerna har datainmatningsfel för radius-redovisning (VPN-integrering). | Kontrollera att den delade hemligheten i konfigurationsinställningarna för Defender for Identity matchar VPN-servern, enligt vägledningen som beskrivs i avsnittet Konfigurera VPN i Defender för identitet , på sidan defender för identitets-VPN-integrering . | Låg | Sidan Problem med hälsotillstånd |
Sensorn kunde inte hämta Microsoft Entra Connect-tjänstkonfigurationen
| Varning | beskrivning | Åtgärd | Allvarlighet | Visas i |
|---|---|---|---|---|
| Det gick inte att hämta Microsoft Entra Connect-tjänstkonfigurationen | Sensorn kan inte hämta konfigurationen från Microsoft Entra Connect-tjänsten (kallas även Microsoft Azure AD-synkronisering). | Kontrollera att Microsoft Entra Connect-tjänsten (Microsoft Azure AD Sync) körs och följ anvisningarna i Konfigurera behörigheter för Databasen Microsoft Entra Connect (ADSync) för att ge sensorn nödvändiga behörigheter. Om problemet kvarstår följer du felsökningsguiden för SQL-anslutningsproblem med Microsoft Entra Connect. | Medium | Fliken Problem med sensorers hälsotillstånd |