Konfigurace zrcadlení portů
Tento článek popisuje možnosti zrcadlení portů pro Microsoft Defender for Identity a je relevantní pouze pro samostatné senzory. Defender for Identity používá hlavně hloubkovou kontrolu paketů přes síťový provoz do a z vašich řadičů domény. Aby samostatné senzory Defenderu for Identity viděly síťový provoz, musíte buď nakonfigurovat zrcadlení portů, nebo použít síťové klepnutí. Zrcadlení portů kopíruje provoz z jednoho portu (zdrojového portu) do jiného (cílového portu).
Při použití zrcadlení portů nakonfigurujte zrcadlení portů pro každý řadič domény, který monitorujete, jako zdroj síťového provozu. Na konfiguraci zrcadlení portů doporučujeme spolupracovat se síťovým nebo virtualizačním týmem.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows, které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.
Volba metody zrcadlení portů
Řadiče domény a samostatný senzor defenderu for Identity můžou být fyzické nebo virtuální. Níže jsou uvedeny běžné metody zrcadlení portů a některé aspekty. Další informace najdete v dokumentaci k vašemu přepínači nebo virtualizačnímu serveru. Výrobce přepínače může používat jinou terminologii.
| Metoda | Popis |
|---|---|
| Analyzátor přepínacích portů (SPAN) | Zkopíruje síťový provoz z jednoho nebo více portů přepínačů do jiného portu přepínače na stejném přepínači. Samostatný senzor Defender for Identity i řadiče domény musí být připojené ke stejnému fyzickému přepínači. |
| Analyzátor portů vzdáleného přepínače (RSPAN) | Umožňuje monitorovat síťový provoz ze zdrojových portů distribuovaných přes více fyzických přepínačů. RSPAN zkopíruje zdrojový provoz do speciální sítě VLAN nakonfigurované v síti RSPAN. Tuto síť VLAN je potřeba připojit k ostatním zapojeným přepínačům. RSPAN pracuje ve vrstvě 2. |
| Zapouzdřený analyzátor portů vzdáleného přepínače (ERSPAN) | Proprietární technologie Cisco pracující ve vrstvě 3. ERSPAN umožňuje monitorovat provoz mezi přepínači bez nutnosti používat kmeny sítě VLAN a ke kopírování monitorovaného síťového provozu používá obecné zapouzdření směrování (GRE). Defender for Identity v současné době nemůže přímo přijímat přenosy ERSPAN. Namísto: 1. Nakonfigurujte cíl ERSPAN, ve kterém je provoz zapouzdřen, jako přepínač nebo směrovač, který může zapouzdřit provoz. 1. Nakonfigurujte přepínač nebo směrovač tak, aby přesměroval zapouzdřený provoz do samostatného senzoru Defenderu for Identity pomocí SPAN nebo RSPAN. |
Poznámka
Pokud je řadič domény, u kterého se zrcadlí port, připojený přes propojení WAN, ujistěte se, že propojení WAN dokáže zpracovat dodatečné zatížení provozu ERSPAN.
Defender for Identity podporuje monitorování provozu jenom v případě, že provoz dosáhne síťové karty a řadiče domény stejným způsobem. Defender for Identity nepodporuje monitorování provozu, když se provoz rozdělí na různé porty.
Podporované možnosti zrcadlení portů
Následující tabulka popisuje podporu konfigurací zrcadlení portů ve službě Defender for Identity:
| Samostatný senzor defenderu for Identity | Řadič domény | Úvahy |
|---|---|---|
| Virtuální | Virtuální na stejném hostiteli | Virtuální přepínač musí podporovat zrcadlení portů. Přesunutí jednoho z virtuálních počítačů na jiného hostitele může samo o sobě narušit zrcadlení portů. |
| Virtuální | Virtuální na různých hostitelích | Ujistěte se, že váš virtuální přepínač podporuje tento scénář. |
| Virtuální | Fyzický | Vyžaduje vyhrazený síťový adaptér, jinak Defender for Identity uvidí veškerý provoz přicházející do a z hostitele, a to i provoz odesílaný do cloudové služby Defender for Identity. |
| Fyzický | Virtuální | Ujistěte se, že váš virtuální přepínač podporuje tento scénář a konfiguraci zrcadlení portů na fyzických přepínačích na základě tohoto scénáře: Pokud je virtuální hostitel na stejném fyzickém přepínači, musíte nakonfigurovat rozsah na úrovni přepínače. Pokud je virtuální hostitel na jiném přepínači, musíte nakonfigurovat rspan nebo ERSPAN*. |
| Fyzický | Fyzické na stejném přepínači | Fyzický přepínač musí podporovat zrcadlení SPAN/portů. |
| Fyzický | Fyzické na jiném přepínači | Vyžaduje fyzické přepínače pro podporu RSPAN nebo ERSPAN. ERSPAN se podporuje jenom v případě, že se provádí zapouzdření před analýzou provozu službou Defender for Identity. |
Poznámka
Čas na řadičích domény a připojeném senzoru Defender for Identity se musí synchronizovat do 5 minut od každého z nich.
Související obsah
Další informace najdete tady: