Sdílet prostřednictvím


Microsoft Defender for Identity požadavky na samostatné senzory

Tento článek uvádí požadavky na nasazení Microsoft Defender for Identity samostatného senzoru, které se liší od požadavků hlavního nasazení.

Další informace najdete v tématu Plánování kapacity pro nasazení Microsoft Defender for Identity.

Důležité

Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows, které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.

Dodatečné požadavky na systém pro samostatné senzory

Samostatné senzory se liší od požadavků na senzory defenderu for Identity takto:

  • Samostatné senzory vyžadují minimálně 5 GB místa na disku.

  • Samostatné senzory je také možné nainstalovat na servery, které jsou v pracovní skupině.

  • Samostatné senzory můžou podporovat monitorování více řadičů domény v závislosti na množství síťového provozu do a z řadičů domény.

  • Pokud pracujete s více doménovými strukturami, musí mít samostatné počítače se senzory povoleno komunikovat se všemi vzdálenými řadiči domény doménové struktury pomocí protokolu LDAP.

Informace o používání virtuálních počítačů se samostatným senzorem Defenderu for Identity najdete v tématu Konfigurace zrcadlení portů.

Síťové adaptéry pro samostatné senzory

Samostatné senzory vyžadují alespoň jeden z následujících síťových adaptérů:

  • Adaptéry pro správu – slouží ke komunikaci v podnikové síti. Senzor používá tento adaptér k dotazování řadiče domény, který chrání, a k překladu na účty počítačů.

    Nakonfigurujte adaptéry pro správu se statickými IP adresami, včetně výchozí brány a upřednostňovaných a alternativních serverů DNS.

    Přípona DNS pro toto připojení by měla být název DNS domény pro každou monitorovanou doménu.

    Poznámka

    Pokud je samostatný senzor Defenderu for Identity členem domény, může se nakonfigurovat automaticky.

  • Adaptér pro zachytávání – slouží k zachycení provozu do a z řadičů domény.

    Důležité

    • Nakonfigurujte zrcadlení portů pro adaptér pro zachytávání jako cíl síťového provozu řadiče domény. Na konfiguraci zrcadlení portů je obvykle potřeba spolupracovat se síťovým nebo virtualizačním týmem.
    • Nakonfigurujte statickou nesměrovatelnou IP adresu (s maskou /32) pro vaše prostředí bez výchozí brány senzoru a bez adres serveru DNS. Příklad: '10.10.0.10/32. Tato konfigurace zajišťuje, že zachytávaný síťový adaptér může zachytit maximální objem provozu a že se síťový adaptér pro správu použije k odesílání a přijímání požadovaných síťových přenosů.

Poznámka

Pokud spustíte Wireshark na samostatném senzoru Defenderu for Identity, restartujte službu senzoru Defender for Identity po zastavení zachytávání Wireshark. Pokud službu senzoru nerestartujete, přestane senzor zachytávat provoz.

Pokud se pokusíte nainstalovat senzor Defenderu for Identity na počítač nakonfigurovaný pomocí adaptéru seskupování síťových adaptérů, zobrazí se chyba instalace. Pokud chcete nainstalovat senzor Defenderu for Identity na počítač s nakonfigurovaným seskupováním síťových adaptérů, přečtěte si téma Problém se seskupováním síťových adaptérů senzoru Defenderu pro identitu.

Porty pro samostatné senzory

V následující tabulce jsou uvedeny další porty, které samostatný senzor Defenderu for Identity vyžaduje nakonfigurované na adaptéru pro správu, a navíc porty uvedené pro senzor Defenderu for Identity.

Protocol (Protokol) Přeprava Port Od K
Interní porty
LDAP TCP a UDP 389 Senzor Defenderu for Identity Řadiče domény
Secure LDAP (LDAPS) TCP 636 Senzor Defenderu for Identity Řadiče domény
LDAP do globálního katalogu TCP 3268 Senzor Defenderu for Identity Řadiče domény
LDAPS do globálního katalogu TCP 3269 Senzor Defenderu for Identity Řadiče domény
Kerberos TCP a UDP 88 Senzor Defenderu for Identity Řadiče domény
Windows Time Protokol udp 123 Senzor Defenderu for Identity Řadiče domény
Syslog (volitelné) TCP/UDP 514, v závislosti na konfiguraci SIEM Server Senzor Defenderu for Identity

Požadavky na protokol událostí Windows

Detekce defenderu for Identity spoléhá na konkrétní protokoly událostí Windows , které senzor parsuje z vašich řadičů domény. Aby bylo možné auditovat správné události a zahrnout je do protokolu událostí Systému Windows, vyžadují řadiče domény přesné nastavení zásad rozšířeného auditu windows.

Další informace najdete v tématech Rozšířená kontrola zásad auditu a Rozšířené zásady auditu zabezpečení v dokumentaci k Windows.

Další kroky