Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На странице проблемы работоспособности Microsoft Defender для удостоверений перечислены текущие проблемы работоспособности для развертывания и датчиков Defender для удостоверений, предупреждающие о любых проблемах в развертывании Defender для удостоверений.
Страница проблем с работоспособностью
На странице проблем с работоспособностью Microsoft Defender для удостоверений вы узнаете, когда возникла проблема с рабочей областью Defender для удостоверений, поднимая проблему работоспособности. Чтобы получить доступ к странице, выполните следующие действия.
В Microsoft Defender XDR в разделе Удостоверения выберите Проблемы со работоспособностью.
Откроется страница Проблемы работоспособности , где можно увидеть проблемы со работоспособностью как для общей среды Defender для удостоверений, так и для определенных датчиков.
Defender для удостоверений поддерживает следующие типы оповещений о работоспособности:
- Связанные с доменом или агрегированные проблемы работоспособности, перечисленные на вкладке Глобальные проблемы работоспособности
- Проблемы с работоспособностью датчика, перечисленные на вкладке Проблемы работоспособности датчика
Отфильтруйте проблемы по состоянию, имени проблемы или серьезности, чтобы помочь вам найти нужные проблемы.
Например, вы можете:
Выберите любую проблему для получения дополнительных сведений и параметр для закрытия или подавления проблемы. Например, вы можете:
Состояние проблемы работоспособности
Проблемы работоспособности в Microsoft Defender для удостоверений могут иметь разные состояния в зависимости от их состояния и способа их обработки.
- Открыть: Проблема работоспособности помечается как открытая.
- Закрыт: Проблема работоспособности автоматически помечается как закрытая, когда Microsoft Defender для удостоверений обнаруживает, что базовая проблема устранена. Если у вас есть роль администратора Azure ATP (имя рабочей области), вы также можете вручную закрыть проблему работоспособности.
- Подавлены: Если у вас есть разрешения администраторов AZURE ATP (имя рабочей области), вы можете отключить оповещение о работоспособности в течение семи дней. Подавляйте оповещение о работоспособности, если вы знаете об ожидаемой временной известной проблеме, например при отключении компьютера для обслуживания.
Например, если контроллер домена отключен для обслуживания, может быть активировано оповещение "Датчик перестал взаимодействовать". С помощью API можно изменить состояние оповещения с "Открыть" на "Подавлено". Когда контроллер домена снова подключен, отменить изменения состояние Открыть и позволить Microsoft Defender для удостоверений автоматически закрыть оповещение при устранении проблемы.
Проблемы с работоспособностью
В этом разделе описаны все проблемы работоспособности для каждого компонента, перечислены причины и шаги, необходимые для ее устранения.
Проблемы работоспособности датчика отображаются на вкладке Проблемы работоспособности датчика , а проблемы, связанные с доменом или агрегированные, отображаются на вкладке Глобальные проблемы работоспособности , как описано в следующих таблицах:
| Оповещение | Описание | Решение | Severity | Отображается в | Поддерживается версией датчика |
|---|---|---|---|---|---|
| Несоответствие конфигурации сети для датчиков, работающих в VMware | Виртуальные машины, на которые установлены перечисленные датчики Defender для удостоверений, имеют несоответствие конфигурации сети. Эта проблема может повлиять на производительность и надежность датчиков. | Просмотрите параметры сетевого интерфейса, в том числе отключение большой разгрузки отправки (LSO), и следуйте инструкциям, приведенным здесь. | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Контроллер домена недоступен датчиком | Датчик Defender для удостоверений имеет ограниченные функциональные возможности из-за проблем с подключением к настроенного контроллера домена. Это влияет на способность Defender для удостоверений обнаруживать подозрительные действия, связанные с контроллерами домена, отслеживаемыми этим датчиком Defender для удостоверений. | Убедитесь, что контроллеры домена запущены и этот датчик Defender для удостоверений может открывать к ним подключения LDAP. Кроме того, в разделе Параметры обязательно настройте учетную запись службы каталогов для каждого развернутого леса. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Все/Некоторые из выбранных сетевых адаптеров записи на датчике Defender для удостоверений отключены или отключены | Сетевой трафик для некоторых или всех контроллеров домена больше не фиксируется датчиком Defender для удостоверений. Эта проблема влияет на возможность обнаружения подозрительных действий, связанных с этими контроллерами домена. | Убедитесь, что выбранные сетевые адаптеры записи на датчике Defender для удостоверений включены и подключены. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Неправильные учетные данные пользователя служб каталогов | Учетные данные для учетной записи пользователя служб каталогов неверны. Эта проблема влияет на способность датчиков обнаруживать действия с помощью запросов LDAP к контроллерам домена. | — Для стандартных учетных записей AD: убедитесь, что имя пользователя, пароль и домен на странице конфигурации служб каталогов заданы правильно. — Для групповых управляемых учетных записей служб убедитесь , что имя пользователя и домен на странице конфигурации служб каталогов верны. Кроме того, проверка все остальные предварительные требования к учетной записи gMSA, описанные на странице рекомендаций по учетным записям службы каталогов. |
Средняя | Вкладка "Глобальные проблемы со здоровьем" | 2.x |
| Низкий уровень успешности при разрешении активных имен | Перечисленным датчикам Defender для удостоверений не удается разрешить IP-адреса с именами устройств более чем в 90 % случаев с помощью следующих методов: — NTLM через RPC -Netbios — обратный DNS. Эта проблема влияет на возможности обнаружения Defender для удостоверений и может увеличить количество ложноположительных оповещений. |
— Для NTLM через RPC: убедитесь, что порт 135 открыт для входящего взаимодействия с датчиками Defender для удостоверений на всех компьютерах в среде. Для обратного DNS: убедитесь, что датчики могут подключиться к DNS-серверу и что включены зоны обратного просмотра. Для NetBIOS: убедитесь, что порт 137 открыт для входящего взаимодействия с датчиками Defender для удостоверений на всех компьютерах в среде. Кроме того, убедитесь, что конфигурация сети (например, брандмауэры) не препятствует обмену данными с соответствующими портами. |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Трафик от контроллера домена не получен | Трафик от контроллера домена через этот датчик Defender для удостоверений не получен. Эта проблема может указывать на то, что зеркальное отображение портов с контроллеров домена на датчик Defender для удостоверений еще не настроено или не работает. | Убедитесь, что на сетевых устройствах правильно настроено зеркальное отображение портов. На сетевом адаптере датчика Defender для удостоверений отключите следующие функции в разделе Дополнительные параметры: Объединение сегментов получения (IPv4) Объединение сегментов получения (IPv6) |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Срок действия пароля пользователя только для чтения истекает в ближайшее время | Срок действия пароля пользователя только для чтения, используемого для разрешения сущностей в Active Directory, истекает менее чем через 30 дней. Если срок действия пароля для этого пользователя истек, все датчики Defenders для удостоверений перестают работать и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | 2.x |
| Срок действия пароля пользователя только для чтения истек | Срок действия пароля пользователя только для чтения, используемого для получения данных каталога, истек. Все датчики Defender для удостоверений перестают работать или перестают работать в ближайшее время, и новые данные не собираются. | Измените пароль подключения к домену, а затем обновите пароль учетной записи службы каталогов . | Высокая | Вкладка "Глобальные проблемы со здоровьем" | 2.x |
| Датчик устарел | Датчик Defender для удостоверений работает под управлением версии, которая не может взаимодействовать с облачной инфраструктурой Defender для удостоверений. | Обновите датчик и проверка вручную, чтобы узнать, почему датчик не обновляется автоматически. Если этот параметр не работает, скачайте последний пакет установки датчика, а затем удалите и переустановите датчик. Дополнительные сведения см. в разделах Скачивание датчика Microsoft Defender для удостоверений и Установка датчика Microsoft Defender для удостоверений. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | Все |
| Датчик достиг предельного объема ресурсов памяти | Датчик Defender для удостоверений остановился и автоматически перезапускается, чтобы защитить контроллер домена от нехватки памяти. Датчик Defender для удостоверений применяет к себе ограничения памяти, чтобы предотвратить возникновение ограничений ресурсов на контроллере домена. Эта проблема возникает при высоком использовании памяти на контроллере домена. Данные из этого контроллера домена отслеживаются только частично. | Увеличьте объем памяти (ОЗУ) на контроллере домена или добавьте дополнительные контроллеры домена на этом сайте, чтобы лучше распределить нагрузку этого контроллера домена. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Не удалось запустить службу датчика | Служба датчика Defender для удостоверений не запускалась не менее 30 минут. Эта проблема может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Отслеживайте журналы датчика Defender для удостоверений, чтобы понять основную причину сбоя службы датчика Defender для удостоверений. | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Датчик перестал взаимодействовать | Связь с датчиком Defender для удостоверений не выполнена. Период времени по умолчанию для этого оповещения составляет 5 минут. Эта проблема указывает на то, что датчик не смог отправить данные или сигнал поддержания активности в службы Defender для удостоверений в течение периода, превышающего допустимое время. Эта проблема обычно предполагает либо проблему с сетью в среде, которая препятствовала передаче данных, либо перезапуск сервера, который занимал больше допустимого периода времени, что влияет на способность Defender для удостоверений обнаруживать подозрительные действия. | Убедитесь, что связь между датчиком Defender для удостоверений и облачной службой Defender для удостоверений не блокируется маршрутизаторами или брандмауэрами. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Некоторые события Windows не анализируются | Датчик Defender для удостоверений получает больше событий, чем может обработать, что приводит к тому, что некоторые события Windows не анализируются. Эта проблема может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender для удостоверений, убедитесь, что на датчик перенаправляются только необходимые события. Или попробуйте переадресовать некоторые события на другой датчик Defender для удостоверений. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Не удалось проанализировать некоторый сетевой трафик | Датчик Defender для удостоверений получает больше сетевого трафика, чем может обработать, что приводит к тому, что не удается проанализировать некоторый сетевой трафик. Эта проблема может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. Если вы используете автономный датчик Defender для удостоверений, уменьшите количество отслеживаемых контроллеров домена. Эта проблема также может возникнуть, если вы используете контроллеры домена на виртуальных машинах VMware. Чтобы избежать этих проблем, можно проверка, что для следующих параметров задано значение 0 или Отключено на виртуальной машине (в ОС Windows, а не в параметрах VMware): - Разгрузка большой отправки версии 2 (IPv4) - Разгрузка TSO IPv4 Имена могут отличаться в зависимости от версии VMware. Дополнительные сведения см. в документации по VMware. |
Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Некоторые события трассировки событий Windows не анализируются | Датчик Defender для удостоверений получает больше событий трассировки событий Windows (ETW), чем может обработать, что приводит к тому, что некоторые события трассировки событий Windows (ETW) не анализируются. Эта проблема может повлиять на возможность обнаружения подозрительных действий, исходящих от контроллеров домена, отслеживаемых этим датчиком Defender для удостоверений. | Рассмотрите возможность добавления дополнительных процессоров и памяти по мере необходимости. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" и вкладка "Глобальные проблемы работоспособности" | 2.x |
| Датчик, работающий в операционной системе, которая скоро станет неподдерживаемой | Датчик Defender для удостоверений работает в операционной системе, которая вскоре станет неподдерживаемой. Windows Server 2012 и 2012 R2 закончили поддержку 10 октября 2023 г. Дополнительные сведения можно получить по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе: https://aka.ms/mdi/os | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик, работающий в неподдерживаемой операционной системе | Датчик Defender для удостоверений работает в неподдерживаемой операционной системе. Windows Server 2012 и 2012 R2 закончили поддержку 10 октября 2023 г. Дополнительные сведения см. по адресу: https://aka.ms/mdi/oseos | Операционная система на сервере должна быть обновлена до последней поддерживаемой операционной системы. Дополнительные сведения см. в разделе: https://aka.ms/mdi/os | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Defender для удостоверений использует драйверы WinPcap вместо драйверов Npcap. Все клиенты должны использовать драйверы Npcap вместо драйверов WinPcap. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM. | Установите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Defender для удостоверений работает под управлением версии Npcap старше минимальной требуемой версии. Минимальная поддерживаемая версия Npcap — 1.0. Начиная с Defender для удостоверений версии 2.184, пакет установки устанавливает Npcap 1.0 OEM. | Обновите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчик имеет проблемы с компонентом записи пакетов | Датчик Defender для удостоверений выполняет компонент Npcap, который не настроен в соответствии с требованиями. В установке Npcap отсутствуют необходимые параметры конфигурации. | Установите Npcap в соответствии с рекомендациями, описанными в следующих разделах: https://aka.ms/mdi/npcap | Высокая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Аудит NTLM не включен | Аудит NTLM (для события с идентификатором 8004) не включен на сервере. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите события аудита NTLM в соответствии с рекомендациями, описанными в разделе Идентификатор события 8004 на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Расширенный аудит служб каталогов не включен по мере необходимости | Конфигурация расширенного аудита служб каталогов не включает все категории и подкатегории при необходимости. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите события расширенного аудита служб каталогов. Дополнительные сведения см. в статье Настройка политик аудита для журналов событий Windows. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | Все |
| Аудит объектов служб каталогов не включен по мере необходимости | Конфигурация аудита объектов служб каталогов не включает все необходимые типы объектов и разрешения. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите события аудита объектов служб каталогов в соответствии с рекомендациями, описанными в разделе Настройка аудита объектов домена на странице Настройка сбора событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Аудит контейнера конфигурации не включен по мере необходимости | Аудит служб каталогов в контейнере конфигурации домена не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите аудит служб каталогов в контейнере конфигурации домена в соответствии с рекомендациями, описанными в разделе Настройка политик аудита на странице Настройка коллекции событий Windows . | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Аудит контейнера ADFS не включен по мере необходимости | Аудит служб каталогов в контейнере ADFS не включен по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого домена.) | Включите аудит служб каталогов в контейнере ADFS в соответствии с рекомендациями, описанными в разделе Настройка аудита для службы федерации Active Directory (AD FS) (AD FS) на странице Настройка коллекции событий Windows. | Средняя | Вкладка "Глобальные проблемы со здоровьем" | Все |
| Режим питания не настроен для оптимальной производительности процессора | В режиме питания операционной системы не настроены оптимальные параметры производительности процессора. (Эта конфигурация проверяется один раз в день для каждого датчика.) Эта проблема может повлиять на производительность сервера и способность датчиков обнаруживать подозрительные действия. | Выполните одно из следующих действий. — Настройка параметра питания компьютера с датчиком Defender для удостоверений с высокой производительностью — задайте для минимального и максимального состояния процессора значение 100. Дополнительные сведения см. в разделе Требования к датчику и рекомендации на странице Предварительные требования к Defender для удостоверений . |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчику не удалось выполнить запись в пользовательский путь к журналу | Не удается создать пользовательский путь к журналу, указанный в конфигурации датчика. | 1. Остановите AATPSensorUpdater службы и AATPSensor . 2. Измените SensorCustomLogLocation в файле конфигурации датчика допустимый путь или задайте для него значение NULL. 3. Снова запустите AATPSensorUpdater службы и AATPSensor . |
Низкая | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Сбои приема данных при учете радиуса (интеграция VPN) | Перечисленные датчики Defender для удостоверений имеют сбои при приеме данных с учетом радиуса (интеграция VPN). | Убедитесь, что общий секрет в параметрах конфигурации Defender для удостоверений соответствует ВАШЕМу VPN-серверу, в соответствии с рекомендациями, описанными в разделе Настройка VPN в Defender для удостоверений на странице интеграции с VPN в Defender для удостоверений . | Низкая | Страница проблем с работоспособностью | 2.x |
| Аудит для серверов AD CS не включен по мере необходимости | Настройка расширенной политики аудита или аудит AD CS не включены по мере необходимости. (Эта конфигурация проверяется один раз в день для каждого датчика.) | Включите конфигурацию расширенной политики аудита и аудит AD CS в соответствии с рекомендациями, описанными в разделе Настройка аудита в AD CS на странице Настройка сбора событий Windows . | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Датчику не удалось получить конфигурацию службы Microsoft Entra Connect | Датчик не может получить конфигурацию из службы Microsoft Entra Connect (также известной как синхронизация Microsoft Azure AD). | Убедитесь, что служба Microsoft Entra connect (синхронизация Microsoft Azure AD) запущена, и следуйте инструкциям в разделе Настройка разрешений для базы данных Microsoft Entra Connect (ADSync), чтобы предоставить датчику необходимые разрешения. Если проблема не исчезнет, следуйте указаниям по устранению неполадок в статье Проблемы с подключением SQL с Microsoft Entra Connect. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 2.x |
| Неправильно настроен аудит RPC датчика версии 3.x | В датчике отсутствует необходимый тег конфигурации RPC Audit unified Sensor или тег применен неправильно. | ||||
| Эта проблема влияет на способность датчика включать расширенный аудит RPC, который требуется для некоторых расширенных обнаружения удостоверений на датчиках версии 3.x. Без этой конфигурации некоторые обнаружения на основе удостоверений могут не работать, что снижает видимость в Defender для удостоверений подозрительных действий. Убедитесь, что конфигурация аудита RPC единого датчика правильно применена к соответствующим устройствам, следуя инструкциям в разделе [Настройка тега аудита RPC] (/deploy/prerequisites-sensor-version-3#configure-rpc-on-v3x-sensors-to-support-advanced-identity-detections). После применения тега конфигурация автоматически применяется на соответствующих устройствах, восстанавливая полную возможность обнаружения. | Средняя | Вкладка "Проблемы со работоспособностью датчиков" | 3.x |