Microsoft Defender for Identity运行状况问题
“Microsoft Defender for Identity运行状况问题”页列出了 Defender for Identity 部署和传感器的所有当前运行状况问题,提醒你 Defender for Identity 部署中的任何问题。
运行状况问题页
当 Defender for Identity 工作区出现问题时,可以通过“Microsoft Defender for Identity运行状况问题”页告知你。 若要访问页面,请执行以下步骤:
在“Microsoft Defender XDR”的“标识”下,选择“运行状况问题”。
此时会显示 “运行状况问题 ”页,可在其中查看常规 Defender for Identity 环境和特定传感器的运行状况问题。
Defender for Identity 支持以下类型的运行状况警报:
- 与域相关的或聚合的运行状况问题,列在“ 全局运行状况问题 ”选项卡上
- 传感器运行状况问题选项卡上列出的特定于传感器的运行状况问题
按状态、问题名称或严重性筛选问题,以帮助你找到要查找的问题。
例如:
选择任何问题以获取更多详细信息,以及用于关闭或取消该问题的选项。 例如:
运行状况问题
本部分介绍每个组件的所有运行状况问题,列出原因和解决问题所需的步骤。
传感器特定的运行状况问题显示在“ 传感器运行状况问题 ”选项卡中,域相关或聚合运行状况问题显示在“ 全局运行状况问题 ”选项卡中,如下表所述:
传感器无法访问域控制器
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 由于与配置的域控制器的连接问题,Defender for Identity 传感器的功能有限。 | 这会影响 Defender for Identity 检测与此 Defender for Identity 传感器监视的域控制器相关的可疑活动的能力。 | 请确保域控制器已启动并运行,并且此 Defender for Identity 传感器可以打开与其建立的 LDAP 连接。 此外,在 “设置” 中,请确保为每个部署的林配置目录服务帐户。 | 中 | “传感器运行状况问题”选项卡 |
传感器上的所有/部分捕获网络适配器不可用
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 已禁用或断开 Defender for Identity 传感器上所有/部分选定的捕获网络适配器。 | Defender for Identity 传感器不再捕获部分/所有域控制器的网络流量。 此问题会影响检测与这些域控制器相关的可疑活动的能力。 | 确保 Defender for Identity 传感器上的这些所选捕获网络适配器已启用并已连接。 | 中 | “传感器运行状况问题”选项卡 |
目录服务用户凭据不正确
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 目录服务用户帐户的凭据不正确。 | 此问题会影响传感器使用针对域控制器的 LDAP 查询检测活动的能力。 | - 对于 标准 AD 帐户:验证 “目录服务 配置”页中的用户名、密码和域是否正确。 - 对于 组托管服务帐户: 验证 “目录服务 配置”页中的用户名和域是否正确。 此外,检查目录服务帐户建议页上介绍的所有其他 gMSA 帐户先决条件。 |
中 | “全局运行状况问题”选项卡 |
活动名称解析的成功率低
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 列出的 Defender for Identity 传感器在超过 90% 的时间内未能使用以下方法将 IP 地址解析为设备名称: - NTLM over RPC - NetBIOS - 反向 DNS |
这会影响 Defender for Identity 的检测功能,并可能会增加误报警报的数量。 | - 对于基于 RPC 的 NTLM:检查端口 135 是否打开,以便从环境中所有计算机上的 Defender for Identity 传感器进行入站通信。 - 对于反向 DNS:检查传感器是否可以访问 DNS 服务器以及是否启用了反向查找区域。 - 对于 NetBIOS:检查端口 137 是否打开,以便从环境中所有计算机上的 Defender for Identity 传感器进行入站通信。 此外,请确保网络配置 ((例如防火墙) )不会阻止与相关端口的通信。 |
低 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
未从域控制器接收流量
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 未通过此 Defender for Identity 传感器从域控制器接收流量。 | 此问题可能表示尚未配置从域控制器到 Defender for Identity 传感器的端口镜像,或者无法正常工作。 | 验证 是否已在网络设备上正确配置端口镜像。 在 Defender for Identity 传感器捕获 NIC 上,在“高级设置”中禁用这些功能: 接收段合并 (IPv4) 接收段合并 (IPv6) |
中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
即将过期的只读用户密码
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 用于针对 Active Directory 执行实体解析的只读用户密码将在 30 天内过期。 | 如果此用户的密码过期,则所有 Defender for Identity 传感器将停止运行,并且不会收集任何新数据。 | 更改域连接密码,然后 更新目录服务帐户 密码。 | 中 | “全局运行状况问题”选项卡 |
只读用户密码已过期
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 用于获取目录数据的只读用户密码已过期。 | 所有 Defender for Identity 传感器停止运行,或即将停止运行,并且不会收集任何新数据。 | 更改域连接密码,然后 更新目录服务帐户 密码。 | 高 | “全局运行状况问题”选项卡 |
传感器已过时
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器已过时。 | Defender for Identity 传感器运行的版本无法与 Defender for Identity 云基础结构通信。 | 手动更新传感器并检查,了解传感器未自动更新的原因。 如果此选项不起作用,请下载最新的传感器安装包并卸载并重新安装传感器。 有关详细信息,请参阅下载Microsoft Defender for Identity传感器和安装Microsoft Defender for Identity传感器。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
传感器达到内存资源限制
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器自行停止并自动重启,以保护域控制器免受内存不足影响。 | Defender for Identity 传感器对自身强制实施内存限制,以防止域控制器遇到资源限制。 当域控制器上的内存使用率较高时,会出现此问题。 来自此域控制器的数据仅受到部分监视。 | 增加域控制器上的内存 (RAM) 量,或在此站点中添加更多域控制器,以更好地分配此域控制器的负载。 | 中 | “传感器运行状况问题”选项卡 |
传感器服务无法启动
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器服务在至少 30 分钟内无法启动。 | 此问题可能会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 监视 Defender for Identity 传感器日志,了解 Defender for Identity 传感器服务失败的根本原因。 | 高 | “传感器运行状况问题”选项卡 |
传感器已停止通信
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器没有通信。 此警报的默认时间跨度为 5 分钟。 | 这表示传感器在超过允许时间的时间段内未能向 Defender for Identity 服务发送数据或保持活动信号。 这通常表明环境中存在阻止数据传输的网络问题,或者服务器重启花费的时间超过可接受的时间范围,从而影响 Defender for Identity 检测可疑活动的能力。 | 检查 Defender for Identity 传感器和 Defender for Identity 云服务之间的通信未受到任何路由器或防火墙的阻止。 | 中 | “传感器运行状况问题”选项卡 |
未分析某些 Windows 事件
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的事件数超过它可以处理的事件数。 | 未分析某些 Windows 事件。 这可能会影响检测来自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要 添加更多处理器和内存 。 如果使用独立的 Defender for Identity 传感器,请验证是否仅将所需的事件转发到传感器。 或者,尝试将一些事件转发到另一个 Defender for Identity 传感器。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
无法分析某些网络流量
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的网络流量超出了其可以处理的流量。 | 无法分析某些网络流量。 此问题可能会影响检测源自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要 添加更多处理器和内存 。 如果使用独立的 Defender for Identity 传感器,请减少要监视的域控制器数。 如果在 VMware 虚拟机上使用域控制器,也可能发生此问题。 若要避免这些问题,可以检查在 Windows OS 的虚拟机 (中将以下设置设置为 0 或“已禁用”,而不是在 VMware 设置) 中: - 大型发送卸载 V2 (IPv4) - IPv4 TSO 卸载 名称可能因 VMware 版本而异。 有关详细信息,请参阅 VMware 文档。 |
中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
未分析某些 ETW 事件
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器接收的 Windows (ETW 事件跟踪) 事件比它可以处理的要多。 | 未分析某些 Windows (ETW) 事件跟踪。 这可能会影响检测来自此 Defender for Identity 传感器监视的域控制器的可疑活动的能力。 | 请考虑根据需要 添加更多处理器和内存 。 | 中 | “传感器运行状况问题”选项卡和“全局运行状况问题”选项卡 |
在即将不受支持的操作系统上运行的传感器
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器在即将不受支持的操作系统上运行。 | Windows Server 2012 和 2012 R2 已于 2023 年 10 月 10 日终止支持。 可在以下位置获取更多详细信息: https://aka.ms/mdi/oseos | 服务器上的操作系统应升级到支持的最新操作系统。 有关详细信息,请参阅: https://aka.ms/mdi/os | 中 | “传感器运行状况问题”选项卡 |
在不支持的操作系统上运行的传感器
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器在不支持的操作系统上运行。 | Windows Server 2012 和 2012 R2 已于 2023 年 10 月 10 日终止支持。 可在以下位置找到更多详细信息: https://aka.ms/mdi/oseos | 服务器上的操作系统应升级到支持的最新操作系统。 有关详细信息,请参阅: https://aka.ms/mdi/os | 高 | “传感器运行状况问题”选项卡 |
传感器与数据包捕获组件存在问题
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| Defender for Identity 传感器使用 WinPcap 驱动程序,而不是 Npcap 驱动程序。 | 所有客户都应使用 Npcap 驱动程序,而不是 WinPcap 驱动程序。 从 Defender for Identity 版本 2.184 开始,安装包将安装 Npcap 1.0 OEM。 | 按照中所述的指南安装 Npcap: https://aka.ms/mdi/npcap | 高 | “传感器运行状况问题”选项卡 |
| Defender for Identity 传感器运行的 Npcap 版本早于所需的最低版本。 | 支持的最低 Npcap 版本为 1.0。 从 Defender for Identity 版本 2.184 开始,安装包将安装 Npcap 1.0 OEM。 | 按照中所述的指南升级 Npcap: https://aka.ms/mdi/npcap | 中 | “传感器运行状况问题”选项卡 |
| Defender for Identity 传感器正在运行未配置为必需的 Npcap 组件。 | Npcap 安装缺少所需的配置选项。 | 按照中所述的指南安装 Npcap: https://aka.ms/mdi/npcap | 高 | “传感器运行状况问题”选项卡 |
未启用 NTLM 审核
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 未启用 NTLM 审核。 | 服务器上未启用事件 ID 8004) 的 NTLM 审核 (。 (此配置每天根据传感器) 进行一次验证。 | 根据“配置 Windows 事件集合”页中的“事件 ID 8004”部分中所述的指南启用 NTLM 审核事件。 | 中 | “传感器运行状况问题”选项卡 |
目录服务高级审核未根据需要启用
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 目录服务高级审核未根据需要启用。 (此配置每天根据传感器) 进行一次验证。 | 目录服务高级审核配置未根据需要包括所有类别和子类别。 | 启用目录服务高级审核事件。 有关详细信息,请参阅 为 Windows 事件日志配置审核策略。 | 中 | “传感器运行状况问题”选项卡 |
未根据需要启用目录服务对象审核
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 目录服务对象审核未根据需要启用。 (此配置每天按域) 验证一次。 | 目录服务对象审核配置未根据需要包括所有对象类型和权限。 | 根据配置 Windows 事件集合页的“配置域对象审核”部分中所述的指导启用目录服务对象审核事件。 | 中 | “全局运行状况问题”选项卡 |
未根据需要启用对配置容器的审核
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 未根据需要启用对配置容器的审核。 (此配置每天按域) 验证一次。 | 域的配置容器上的目录服务审核未根据需要启用。 | 根据“配置 Windows 事件集合”页的“配置审核策略”部分中所述的指导,在域的配置容器上启用目录服务审核。 | 中 | “全局运行状况问题”选项卡 |
未根据需要启用对 ADFS 容器的审核
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 未根据需要启用对 ADFS 容器的审核。 (此配置每天按域) 验证一次。 | ADFS 容器上的目录服务审核未根据需要启用。 | 根据在 Active Directory 联合身份验证服务 (AD FS) 上配置审核部分中所述的指导,在 ADFS 容器上启用目录服务审核。 | 中 | “全局运行状况问题”选项卡 |
未为最佳处理器性能配置电源模式
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 未为最佳处理器性能配置电源模式。 (此配置每天根据传感器) 进行一次验证。 | 操作系统的电源模式未配置为最佳处理器性能设置。 此问题可能会影响服务器的性能以及传感器检测可疑活动的能力。 | 执行下列操作之一: - 将运行 Defender for Identity 传感器的计算机的电源选项配置为“高性能” - 将最小和最大处理器状态设置为 100 有关详细信息,请参阅 Defender for Identity 先决条件页中的传感器要求和建议部分。 |
低 | “传感器运行状况问题”选项卡 |
传感器无法写入自定义日志路径
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 传感器无法写入自定义日志路径。 | 无法创建传感器配置中提供的自定义日志路径。 | 1. 停止 AATPSensorUpdater 和 AATPSensor 服务。 2. 将传感器配置文件中的 更改为 SensorCustomLogLocation 有效路径或将其设置为 null。 3. 再次启动 AATPSensorUpdater 和 AATPSensor 服务。 |
低 | “传感器运行状况问题”选项卡 |
半径记帐 (VPN 集成) 数据引入失败
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 半径计帐 (VPN 集成) 数据引入失败。 | 列出的 Defender for Identity 传感器具有半径记帐 (VPN 集成) 数据引入失败。 | 根据 Defender for Identity VPN 集成页中的在 Defender for Identity 中配置 VPN 部分中所述的指南,验证 Defender for Identity 配置设置中的共享机密是否与 VPN 服务器匹配。 | 低 | 运行状况问题页 |
传感器无法检索Microsoft Entra Connect 服务配置
| 通知 | 说明 | 解决方案 | Severity | 显示于 |
|---|---|---|---|---|
| 无法检索Microsoft Entra Connect 服务配置 | 传感器无法从 Microsoft Entra Connect 服务检索配置, (也称为Microsoft Azure AD同步) 。 | 确保Microsoft Entra连接服务 (Microsoft Azure AD 同步) 正在运行,并按照配置 Microsoft Entra Connect (ADSync) 数据库中的说明向传感器授予必要的权限。 如果问题仍然存在,请按照 Microsoft Entra Connect 的 SQL 连接问题中的故障排除指南进行操作。 | 中 | “传感器运行状况问题”选项卡 |