Problemas de integridade do Microsoft Defender para Identidade

A página Problemas de integridade do Microsoft Defender para Identidade lista todos os problemas de integridade atuais para a implantação e os sensores do Defender for Identity, alertando sobre quaisquer problemas na implantação do Defender para Identidade.

Página Problemas de integridade

A página Problemas de integridade do Microsoft Defender para Identidade permite que você saiba quando há um problema no espaço de trabalho do Defender para Identidade, levantando um problema de integridade. Para acessar a página, siga estas etapas:

  1. No Microsoft Defender XDR, em Identidades, selecione Problemas de integridade.

  2. A página Problemas de integridade é exibida, onde você pode ver problemas de integridade para seu ambiente geral e sensores específicos do Defender para Identidade.

    O Defender para Identidade oferece suporte aos seguintes tipos de alertas de integridade:

    • Problemas de integridade agregados ou relacionados ao domínio, listados na guia Problemas de integridade global
    • Problemas de integridade específicos do sensor, listados na guia Problemas de integridade do sensor

    Filtre os problemas por status, nome do problema ou gravidade para ajudar você a encontrar o problema que está procurando.

    Por exemplo:

    Captura de tela da página de problemas de integridade.

  3. Selecione um problema para obter mais detalhes e a opção para fechar ou suprimir o problema. Por exemplo:

    Captura de tela de um painel de detalhes do problema de integridade.

Problemas de saúde

Esta seção descreve todos os problemas de integridade de cada componente, listando a causa e as etapas necessárias para resolver o problema.

Os problemas de integridade específicos do sensor são exibidos na guia Problemas de integridade do sensor e os problemas de integridade agregados ou relacionados ao domínio são exibidos na guia Problemas de integridade global, conforme detalhado nas tabelas a seguir:

Um controlador de domínio fica inacessível por um sensor

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade tem funcionalidade limitada devido a problemas de conectividade com o controlador de domínio configurado. Isso afeta a capacidade do Defender para Identidade de detectar atividades suspeitas relacionadas a controladores de domínio monitorados por esse sensor do Defender para Identidade. Verifique se os controladores de domínio estão em funcionamento e se esse sensor do Defender para Identidade consegue abrir conexões LDAP a eles. Além disso, em Configurações, configure uma conta de Serviço de Diretório para cada floresta implantada. Médio Guia Problemas de integridade dos sensores

Todos/Alguns adaptadores de rede de captura em um sensor não estão disponíveis

Alerta Descrição Resolução Severidade Exibido em
Todos/Alguns adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão desativados ou desconectados. O tráfego de rede de alguns/todos controladores de domínio não é mais capturado pelo sensor do Defender para Identidade. Esse problema afeta a capacidade de detectar atividades suspeitas relacionadas a esses controladores de domínio. Verifique se esses adaptadores de rede de captura selecionados no sensor do Defender para Identidade estão habilitados e conectados. Médio Guia Problemas de integridade dos sensores

As credenciais de usuário de serviços de diretório estão incorretas

Alerta Descrição Resolução Severidade Exibido em
As credenciais da conta de usuário de serviços de diretório estão incorretas. Esse problema afeta a capacidade do sensor de detectar atividades usando consultas LDAP em controladores de domínio. - Para contas padrão do AD: verifique se o nome de usuário, a senha e o domínio na página de configuração dos Serviços de Diretório estão corretos.
- Para contas de serviço gerenciado de grupo: verifique se o nome de usuário e o domínio na página de configuração dos Serviços de Diretório estão corretos. Verifique também todos os outros pré-requisitos de conta gMSA descritos na página Recomendações para contas de Serviço de Diretório.
Médio Guia Problemas de integridade global

Taxa de sucesso da resolução de nomes ativos baixa

Alerta Descrição Resolução Severidade Exibido em
Os sensores do Defender para Identidade listados não estão conseguindo resolver endereços IP para nomes de dispositivos em mais de 90% das vezes usando os seguintes métodos:
- NTLM por RPC
- NetBIOS
- DNS reverso
Isso afeta os recursos de detecção do Defender para Identidade e pode aumentar o número de alarmes falsos positivos. - Para NTLM por RPC: verifique se a porta 135 está aberta para comunicação de entrada dos sensores do Defender para Identidade em todos os computadores do ambiente.
- Para DNS reverso: verifique se os sensores conseguem alcançar o servidor DNS e se as Zonas de Pesquisa Inversa estão habilitadas.
- Para NetBIOS: verifique se a porta 137 está aberta para comunicação de entrada dos sensores do Defender para Identidade em todos os computadores do ambiente.
Além disso, verifique se a configuração da rede (como firewalls) não está impedindo a comunicação com as portas relevantes.
Baixo Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

Nenhum tráfego recebido do controlador de domínio

Alerta Descrição Resolução Severidade Exibido em
Nenhum tráfego foi recebido do controlador de domínio por meio deste sensor do Defender para Identidade. Esse problema pode indicar que o espelhamento de porta dos controladores de domínio para o sensor do Defender para Identidade ainda não está configurado ou não está funcionando. Verifique se o espelhamento de porta está configurado corretamente nos dispositivos de rede.

Na NIC de captura do sensor do Defender para Identidade, desabilite esses recursos em Configurações avançadas:

União de Segmentos de Recebimento (IPv4)

Receive Segment Coalescing (IPv6)
Médio Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

A senha de usuário somente leitura expirará em breve

Alerta Descrição Resolução Severidade Exibido em
A senha de usuário somente leitura, usada para executar a resolução de entidades no Active Directory, vai expirar em menos de 30 dias. Se a senha desse usuário expirar, todos os sensores do Defender para Identidade deixarão de ser executados e novos dados não serão coletados. Altere a senha de conectividade do domínio e atualize a senha da conta do Serviço de Diretório. Médio Guia Problemas de integridade global

A senha de usuário somente leitura expirou

Alerta Descrição Resolução Severidade Exibido em
A senha de usuário somente leitura, usada para obter dados do diretório, expirou. Todos os sensores do Defender para Identidade param, ou vão parar, de funcionar em breve e novos dados não serão coletados. Altere a senha de conectividade do domínio e atualize a senha da conta do Serviço de Diretório. Alto Guia Problemas de integridade global

Sensor desatualizado

Alerta Descrição Resolução Severidade Exibido em
Um sensor do Defender para Identidade está desatualizado. Um sensor do Defender para Identidade está executando uma versão que não consegue se comunicar com a infraestrutura de nuvem do Defender para Identidade. Atualize manualmente o sensor e verifique por que o sensor não está sendo atualizado automaticamente. Se essa opção não funcionar, baixe o pacote de instalação do sensor mais recente e desinstale e reinstale o sensor. Para obter mais informações, consulte Baixar o sensor do Microsoft Defender para Identidade e Instalar o sensor do Microsoft Defender para Identidade. Médio Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

O sensor atingiu um limite de recurso de memória

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade parou e reinicia automaticamente para proteger o controlador de domínio de uma condição de pouca memória. O sensor do Defender para Identidade impõe limitações de memória a si mesmo para impedir que o controlador de domínio enfrente limitações de recursos. Esse problema ocorre quando o uso de memória no controlador de domínio é alto. Os dados desse controlador de domínio são monitorados apenas parcialmente. Aumente a quantidade de memória (RAM) no controlador de domínio ou adicione mais controladores de domínio nesse site para distribuir melhor a carga desse controlador de domínio. Médio Guia Problemas de integridade dos sensores

O serviço do sensor falhou ao iniciar

Alerta Descrição Resolução Severidade Exibido em
O serviço do sensor do Defender para Identidade falhou ao iniciar por pelo menos 30 minutos. Esse problema pode afetar a capacidade de detectar atividades suspeitas originadas de controladores de domínio monitorados por esse sensor do Defender para Identidade. Monitore os logs do sensor do Defender para Identidade para entender a causa raiz da falha do serviço do sensor do Defender para Identidade. Alto Guia Problemas de integridade dos sensores

O sensor parou de se comunicar

Alerta Descrição Resolução Severidade Exibido em
Não houve comunicação do sensor do Defender para Identidade. O período padrão para esse alerta é de 5 minutos. O tráfego de rede não é mais capturado pelo adaptador de rede no sensor do Defender para Identidade. Isso afeta a capacidade do Defender para Identidade de detectar atividades suspeitas, já que o tráfego de rede não consegue chegar ao serviço de nuvem do Defender para Identidade. Verifique se a porta usada para a comunicação entre o sensor do Defender para Identidade e o serviço de nuvem do Defender para Identidade não está bloqueada por nenhum roteador ou firewall. Médio Guia Problemas de integridade dos sensores

Alguns eventos do Windows não estão sendo analisados

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está recebendo mais eventos do que pode processar. Alguns eventos do Windows não estão sendo analisados. Isso pode afetar a capacidade de detectar atividades suspeitas originadas de controladores de domínio monitorados por esse sensor do Defender para Identidade. Considere adicionar mais processadores e memória, conforme necessário. Se você estiver usando um sensor autônomo do Defender para Identidade, verifique se apenas os eventos necessários são encaminhados para o sensor. Ou tente encaminhar alguns eventos para outro sensor do Defender para Identidade. Médio Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

Não foi possível analisar parte do tráfego de rede

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está recebendo mais tráfego de rede do que pode processar. Não foi possível analisar parte do tráfego de rede. Esse problema pode afetar a capacidade de detectar atividades suspeitas originadas de controladores de domínio monitorados por esse sensor do Defender para Identidade. Considere adicionar mais processadores e memória, conforme necessário. Se você estiver usando um sensor autônomo do Defender para Identidade, reduza o número de controladores de domínio que estão sendo monitorados.

Esse problema também pode acontecer se você estiver usando controladores de domínio em máquinas virtuais VMware. Para evitar esses problemas, você pode verificar se as seguintes configurações estão definidas como 0 ou Desabilitadas na máquina virtual (no SO Windows, não nas configurações do VMware):

- Grande envio de descarregamento V2 (IPv4)

- Descarregamento TSO IPv4

Os nomes podem variar dependendo da sua versão do VMware. Para obter mais informações, consulte a documentação do VMware.
Médio Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

Alguns eventos do ETW não estão sendo analisados

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está recebendo mais eventos do ETW (Rastreamento de Eventos para Windows) do que pode processar. Alguns eventos do ETW (Rastreamento de Eventos para Windows) não estão sendo analisados. Isso pode afetar a capacidade de detectar atividades suspeitas originadas de controladores de domínio monitorados por esse sensor do Defender para Identidade. Considere adicionar mais processadores e memória, conforme necessário. Médio Guia Problemas de integridade dos sensores e Guia Problemas de integridade global

Sensor em execução em um sistema operacional que em breve não terá suporte

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está sendo executado em um sistema operacional que em breve não terá suporte. O Windows Server 2012 e o 2012 R2 chegaram ao fim do suporte em 10 de outubro de 2023. Encontre mais detalhes em: https://aka.ms/mdi/oseos O sistema operacional no servidor deve ser atualizado para o sistema operacional mais recente com suporte. Para obter mais detalhes, consulte: https://aka.ms/mdi/os Médio Guia Problemas de integridade dos sensores

Sensor em execução em um sistema operacional sem suporte

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está sendo executado em um sistema operacional sem suporte. O Windows Server 2012 e o 2012 R2 chegaram ao fim do suporte em 10 de outubro de 2023. Encontre mais detalhes em: https://aka.ms/mdi/oseos O sistema operacional no servidor deve ser atualizado para o sistema operacional mais recente com suporte. Para obter mais detalhes, consulte: https://aka.ms/mdi/os Alto Guia Problemas de integridade dos sensores

O sensor está apresentando problemas com o componente de captura de pacotes

Alerta Descrição Resolução Severidade Exibido em
O sensor do Defender para Identidade está usando drivers WinPcap, em vez de drivers Npcap. Todos os clientes devem usar drivers Npcap, em vez de drivers WinPcap. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o Npcap 1.0 OEM. Instale o Npcap de acordo com as diretrizes descritas em: https://aka.ms/mdi/npcap Alto Guia Problemas de integridade dos sensores
O sensor do Defender para Identidade está executando uma versão do Npcap mais antiga do que a versão mínima necessária. A versão mínima compatível do Npcap é 1.0. A partir da versão 2.184 do Defender para Identidade, o pacote de instalação instala o Npcap 1.0 OEM. Atualize o Npcap de acordo com as diretrizes descritas em: https://aka.ms/mdi/npcap Médio Guia Problemas de integridade dos sensores
O sensor do Defender para Identidade está executando um componente do Npcap que não está configurado conforme necessário. A instalação do Npcap não inclui as opções de configuração necessárias. Instale o Npcap de acordo com as diretrizes descritas em: https://aka.ms/mdi/npcap Alto Guia Problemas de integridade dos sensores

A auditoria NTLM não está habilitada

Alerta Descrição Resolução Severidade Exibido em
A auditoria NTLM não está habilitada. A auditoria NTLM (para o ID de evento 8004) não está habilitada no servidor. (Essa configuração é validada uma vez por dia, por sensor). Habilite os eventos de Auditoria NTLM de acordo com as diretrizes descritas na seção ID do Evento 8004, na página Configurar a coleta de eventos do Windows. Médio Guia Problemas de integridade dos sensores

A Auditoria Avançada dos Serviços de Diretório não está habilitada conforme necessário

Alerta Descrição Resolução Severidade Exibido em
A Auditoria Avançada dos Serviços de Diretório não está habilitada conforme necessário. (Essa configuração é validada uma vez por dia, por sensor). A configuração da Auditoria Avançada dos Serviços de Diretório não inclui todas as categorias e subcategorias conforme necessário. Habilite os eventos de Auditoria Avançada dos Serviços de Diretório. Para obter mais informações, confira Configurar políticas de auditoria para logs de eventos do Windows. Médio Guia Problemas de integridade dos sensores

A Auditoria de Objetos dos Serviços de Diretório não está habilitada conforme necessário

Alerta Descrição Resolução Severidade Exibido em
A Auditoria de Objetos dos Serviços de Diretório não está habilitada conforme necessário. (Essa configuração é validada uma vez por dia, por domínio). A configuração de Auditoria de Objetos dos Serviços de Diretório não inclui todos os tipos de objeto e permissões conforme necessário. Habilite os eventos de Auditoria de Objetos dos Serviços de Diretório de acordo com as diretrizes descritas na seção Configurar auditoria de objetos de domínio, na página Configurar a coleta de eventos do Windows. Médio Guia Problemas de integridade global

A auditoria no contêiner Configuração não está habilitada conforme necessário

Alerta Descrição Resolução Severidade Exibido em
A auditoria no contêiner Configuração não está habilitada conforme necessário. (Essa configuração é validada uma vez por dia, por domínio). A Auditoria de Serviços de Diretório no contêiner Configuração do Domínio não está habilitada conforme necessário. Habilite a Auditoria de Serviços de Diretório no contêiner de Configuração do Domínio de acordo com as diretrizes descritas na seção Configurar políticas de auditoria, na página Configurar a coleta de eventos do Windows. Médio Guia Problemas de integridade global

A auditoria no contêiner do ADFS não está habilitada conforme necessário

Alerta Descrição Resolução Severidade Exibido em
A auditoria no contêiner do ADFS não está habilitada conforme necessário. (Essa configuração é validada uma vez por dia, por domínio). A Auditoria de Serviços de Diretório no contêiner do ADFS não está habilitada conforme necessário. Habilite a Auditoria de Serviços de Diretório no contêiner do ADFS de acordo com as diretrizes descritas na seção Configurar auditoria no Serviços de Federação do Active Directory (AD FS), na página Configurar a coleta de eventos do Windows. Médio Guia Problemas de integridade global

O modo de energia não está configurado para o desempenho ideal do processador

Alerta Descrição Resolução Severidade Exibido em
O modo de energia não está configurado para o desempenho ideal do processador. (Essa configuração é validada uma vez por dia, por sensor). O modo de energia do sistema operacional não está com as configurações para garantir o desempenho ideal do processador. Esse problema pode afetar o desempenho do servidor e a capacidade dos sensores de detectar atividades suspeitas. Realize um dos seguintes procedimentos:

- Configure a opção de energia do computador que está executando o sensor do Defender para Identidade como Alto Desempenho.
- Defina o estado mínimo e máximo do processador para 100.

Para obter mais informações, consulte a seção Requisitos e recomendações do sensor na página Pré-requisitos do Defender para Identidade.
Baixo Guia Problemas de integridade dos sensores

Falha do sensor ao gravar no caminho de log personalizado

Alerta Descrição Resolução Severidade Exibido em
O sensor falhou ao gravar no caminho de log personalizado. O caminho de log personalizado fornecido na configuração do sensor não pode ser criado. 1. Pare os serviços AATPSensorUpdater e AATPSensor.
2. Altere o caminho SensorCustomLogLocation no arquivo de configuração do sensor para um caminho válido ou defina-o como nulo.
3. Inicie os serviços AATPSensorUpdater e AATPSensor novamente.
Baixo Guia Problemas de integridade dos sensores

Falhas de ingestão de dados de contabilização Radius (integração de VPN)

Alerta Descrição Resolução Severidade Exibido em
Falhas de ingestão de dados de contabilização Radius (integração de VPN). Os sensores do Defender para Identidade listados estão apresentando falhas de ingestão de dados de contabilização Radius (integração de VPN). Valide se o segredo compartilhado nas definições de configuração do Defender para Identidade corresponde ao seu servidor VPN, de acordo com as diretrizes descritas na seção Configurar VPNs no Defender para Identidade na página Integração de VPNs do Microsoft Defender para Identidade. Baixo Página Problemas de integridade

Falha do sensor ao recuperar a configuração do serviço Microsoft Entra Connect

Alerta Descrição Resolução Severidade Exibido em
Falha ao recuperar a configuração do serviço Microsoft Entra Connect O sensor não consegue recuperar a configuração do serviço Microsoft Entra Connect (também conhecido como sincronização do Microsoft Azure AD). Verifique se o serviço de conexão do Microsoft Entra (Microsoft Azure AD Sync) está em execução e siga as instruções em Configurar permissões para o banco de dados do Microsoft Entra Connect (ADSync) para conceder ao sensor as permissões necessárias. Se o problema persistir, siga as diretrizes de solução de problemas em Problemas de conectividade do SQL com o Microsoft Entra Connect. Médio Guia Problemas de integridade dos sensores

Próximas etapas