Microsoft Defender for Identity požadavky na samostatné senzory
Tento článek uvádí požadavky na nasazení Microsoft Defender for Identity samostatného senzoru, které se liší od požadavků hlavního nasazení.
Další informace najdete v tématu Plánování kapacity pro nasazení Microsoft Defender for Identity.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows, které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.
Dodatečné požadavky na systém pro samostatné senzory
Samostatné senzory se liší od požadavků na senzory defenderu for Identity takto:
Samostatné senzory vyžadují minimálně 5 GB místa na disku.
Samostatné senzory je také možné nainstalovat na servery, které jsou v pracovní skupině.
Samostatné senzory můžou podporovat monitorování více řadičů domény v závislosti na množství síťového provozu do a z řadičů domény.
Pokud pracujete s více doménovými strukturami, musí mít samostatné počítače se senzory povoleno komunikovat se všemi vzdálenými řadiči domény doménové struktury pomocí protokolu LDAP.
Informace o používání virtuálních počítačů se samostatným senzorem Defenderu for Identity najdete v tématu Konfigurace zrcadlení portů.
Síťové adaptéry pro samostatné senzory
Samostatné senzory vyžadují alespoň jeden z následujících síťových adaptérů:
Adaptéry pro správu – slouží ke komunikaci v podnikové síti. Senzor používá tento adaptér k dotazování řadiče domény, který chrání, a k překladu na účty počítačů.
Nakonfigurujte adaptéry pro správu se statickými IP adresami, včetně výchozí brány a upřednostňovaných a alternativních serverů DNS.
Přípona DNS pro toto připojení by měla být název DNS domény pro každou monitorovanou doménu.
Poznámka
Pokud je samostatný senzor Defenderu for Identity členem domény, může se nakonfigurovat automaticky.
Adaptér pro zachytávání – slouží k zachycení provozu do a z řadičů domény.
Důležité
- Nakonfigurujte zrcadlení portů pro adaptér pro zachytávání jako cíl síťového provozu řadiče domény. Na konfiguraci zrcadlení portů je obvykle potřeba spolupracovat se síťovým nebo virtualizačním týmem.
- Nakonfigurujte statickou nesměrovatelnou IP adresu (s maskou /32) pro vaše prostředí bez výchozí brány senzoru a bez adres serveru DNS. Příklad: '10.10.0.10/32. Tato konfigurace zajišťuje, že zachytávaný síťový adaptér může zachytit maximální objem provozu a že se síťový adaptér pro správu použije k odesílání a přijímání požadovaných síťových přenosů.
Poznámka
Pokud spustíte Wireshark na samostatném senzoru Defenderu for Identity, restartujte službu senzoru Defender for Identity po zastavení zachytávání Wireshark. Pokud službu senzoru nerestartujete, přestane senzor zachytávat provoz.
Pokud se pokusíte nainstalovat senzor Defenderu for Identity na počítač nakonfigurovaný pomocí adaptéru seskupování síťových adaptérů, zobrazí se chyba instalace. Pokud chcete nainstalovat senzor Defenderu for Identity na počítač s nakonfigurovaným seskupováním síťových adaptérů, přečtěte si téma Problém se seskupováním síťových adaptérů senzoru Defenderu pro identitu.
Porty pro samostatné senzory
V následující tabulce jsou uvedeny další porty, které samostatný senzor Defenderu for Identity vyžaduje nakonfigurované na adaptéru pro správu, a navíc porty uvedené pro senzor Defenderu for Identity.
Protocol (Protokol) | Přeprava | Port | Od | K |
---|---|---|---|---|
Interní porty | ||||
LDAP | TCP a UDP | 389 | Senzor Defenderu for Identity | Řadiče domény |
Secure LDAP (LDAPS) | TCP | 636 | Senzor Defenderu for Identity | Řadiče domény |
LDAP do globálního katalogu | TCP | 3268 | Senzor Defenderu for Identity | Řadiče domény |
LDAPS do globálního katalogu | TCP | 3269 | Senzor Defenderu for Identity | Řadiče domény |
Kerberos | TCP a UDP | 88 | Senzor Defenderu for Identity | Řadiče domény |
Windows Time | Protokol udp | 123 | Senzor Defenderu for Identity | Řadiče domény |
Syslog (volitelné) | TCP/UDP | 514, v závislosti na konfiguraci | SIEM Server | Senzor Defenderu for Identity |
Požadavky na protokol událostí Windows
Detekce defenderu for Identity spoléhá na konkrétní protokoly událostí Windows , které senzor parsuje z vašich řadičů domény. Aby bylo možné auditovat správné události a zahrnout je do protokolu událostí Systému Windows, vyžadují řadiče domény přesné nastavení zásad rozšířeného auditu windows.
Další informace najdete v tématech Rozšířená kontrola zásad auditu a Rozšířené zásady auditu zabezpečení v dokumentaci k Windows.
Chcete-li se ujistit, že je událost 8004 systému Windows auditována podle potřeby službou, zkontrolujte nastavení auditování protokolu NTLM.
U senzorů spuštěných na serverech AD FS nebo AD CS nakonfigurujte úroveň auditování na Podrobná. Další informace najdete v tématech Informace o auditování událostí pro službu AD FS a Informace o auditování událostí pro SLUŽBU AD CS.