Sdílet prostřednictvím

Plánování kapacity pro nasazení Microsoft Defender for Identity

  • Článek

Tento článek popisuje, jak pomocí nástroje Microsoft Defender for Identity určit, jestli servery řadiče domény mají dostatek prostředků pro senzor Microsoft Defender for Identity.

Pokud server nemá požadované prostředky, nemusí to mít vliv na výkon řadiče domény, ale senzor Defenderu for Identity nemusí fungovat podle očekávání. Další informace najdete v tématu požadavky Microsoft Defender for Identity.

Nástroj pro určení velikosti měří kapacitu potřebnou pouze pro řadiče domény. Není nutné ji spouštět na serverech AD FS/ AD CS/ Entra Connect, protože dopad na výkon těchto serverů je extrémně minimální, než že neexistuje.

Tip

Defender for Identity ve výchozím nastavení podporuje až 350 senzorů. Pokud chcete nainstalovat další senzory, obraťte se na podporu Defenderu for Identity.

Požadavky

Pokud chcete zajistit přesné výsledky, spusťte nástroj pro určení velikosti jenom před instalací senzorů Defenderu for Identity do vašeho prostředí.

Použití nástroje pro změnu velikosti

  1. Ze staženého souboru ZIP spusťte nástroj pro změnu velikosti Defenderu for Identity TriSizingTool.exe.

  2. Po dokončení spuštění nástroje otevřete výsledky excelového souboru.

  3. V excelovém souboru vyhledejte a vyberte list Souhrn Azure ATP a pak ve sloupci Sensor Supported (Podporované senzory ) vyhledejte výsledky, které označují, jestli je váš server podporovaný.

    Příklady:

    Snímek obrazovky s ukázkovým nástrojem pro plánování kapacity

    Poznámka

    Druhý list v souboru se používá pro plánování Advanced Threat Analytics (ATA) a není potřeba pro Defender for Identity.

Nástroj pro určení velikosti určuje, jestli je váš server podporovaný, na základě hodnoty Zaneprázdněné pakety/sekunda , která se počítá na základě 15 nejvytíženějších minut za 24 hodin.

Mezi běžné výsledky patří:

Result (Výsledek) Popis
Ano Senzor je podporován na vašem serveru.
Ano, ale vyžadují se další prostředky. Senzor je na vašem serveru podporovaný, pokud přidáte všechny zadané chybějící prostředky.
Možná Aktuální hodnota zaneprázdněných paketů za sekundu může být v tomto bodě výrazně vyšší než průměr. Zkontrolujte časová razítka, abyste porozuměli procesům spuštěným v daném okamžiku a jestli můžete za normálních okolností omezit šířku pásma pro tyto procesy.
Možná, ale vyžadují se další prostředky. Senzor může být na vašem serveru podporován, pokud přidáte všechny zadané chybějící prostředky, nebo zaneprázdněné pakety za sekundu mohou být vyšší než 60 tisíc.
Ne Senzor není na vašem serveru podporovaný.

Aktuální hodnota zaneprázdněných paketů za sekundu může být v tomto bodě výrazně vyšší než průměr. Zkontrolujte časová razítka, abyste porozuměli procesům spuštěným v daném okamžiku a jestli můžete za normálních okolností omezit šířku pásma pro tyto procesy.
Chybějící data operačního systému Při čtení dat operačního systému došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI.
Chybějící data o provozu Při čtení dopravních dat došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat čítače výkonu.
Chybějící data paměti RAM Při čtení dat paměti RAM došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI.
Chybějící základní data Při čtení základních dat došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI.

Na následujícím obrázku je například sada výsledků, u kterých hodnota Možná značí, že hodnota Zaneprázdněné pakety/s je v tomto bodě výrazně vyšší než průměr. Všimněte si, že zobrazení časů řadiče domény jako UTC/Místní je nastavené na Místní čas řadiče domény. Toto nastavení pomáhá zdůraznit skutečnost, že hodnoty byly pořízeny kolem 3:30.

Snímek obrazovky s výsledky nástroje pro kapacitu zobrazující možné hodnoty

Odhadovaná velikost senzoru Defenderu for Identity

Následující tabulka uvádí odhadovanou kapacitu procesoru a paměti RAM potřebnou pro senzor Defenderu for Identity na základě typického množství síťového provozu generovaného řadičem domény.

Tato tabulka představuje odhad. Konečné množství, které senzor analyzuje, závisí na množství provozu a distribuci provozu.

Zaneprázdněné pakety za sekundu Procesor (fyzická jádra) Paměť RAM (GB)
0–1k 0.25 2.50
1k-5k 0.75 6.00
5k-10k 1.00 6.50
10 tisíc až 20 tisíc 2.00 9.00
20 tisíc až 50 tisíc 3.50 9.50
50k-75k 5.50 11.50
75 tisíc až 100 tisíc 7.50 13.50

V této tabulce:

  • Kapacita procesoru a paměti RAM se týká vlastní spotřeby senzoru, nikoli kapacity řadiče domény.

  • Kapacita procesoru nezahrnuje jádra hyper-threaded. Doporučujeme nepracovat s jádry s hyper-threaded, což může vést k problémům se stavem senzoru Defenderu for Identity.

Při určování velikosti mějte na paměti celkový počet jader a celkové množství paměti, které bude služba senzoru používat.

Další informace najdete v tématu Omezení prostředků.

Ruční odhad velikosti pro řadiče domény

Pokud nemůžete použít nástroj pro změnu velikosti, můžete ručně odhadnout, jestli mají servery řadiče domény dostatek prostředků pro senzor Defenderu for Identity.

Ručně shromážděte informace o čítači paketů a sekund ze všech řadičů domény během 24 hodin s nízkým intervalem shromažďování, například 5 sekund. Pro každý řadič domény vypočítejte denní průměr a průměr nejvytíženějšího období (15 minut).

Různé nástroje vám můžou pomoct zjistit průměrný čítač paketů za sekundu pro váš řadič domény. Tento postup popisuje příklad použití Sledování výkonu ke shromáždění relevantních informací.

  1. Otevřete Sledování výkonu a rozbalte Sady kolekcí dat.

  2. Klikněte pravým tlačítkem na Definované uživatelem a vyberte Nová > sada kolekcí dat.

  3. Zadejte smysluplný název sady kolektorů a vyberte Vytvořit ručně (upřesnit).

  4. V části Jaký typ dat chcete zahrnout? vyberte Vytvořit datové protokoly a Čítač výkonu.

  5. Rozbalte síťový adaptér a pak vyberte Pakety/s a příslušný pracovní prostor. Pokud si nejste jistí, který pracovní prostor vybrat, vyberte <Všechny pracovní prostory>. Krok dokončete výběrem možnosti Přidat>OK .

    Pokud tento krok provádíte z příkazového řádku, případně spuštěním příkazu ipconfig /all zobrazte název a konfiguraci adaptéru.

  6. Změňte interval ukázky na pět sekund a definujte, kam se mají data ukládat.

  7. V části Vytvořit sadu kolekcí dat vyberte Spustit tuto sadu kolekcí dat nyní>Dokončit.

    Teď byste měli vidět sadu kolekcí dat, kterou jste vytvořili, se zeleným trojúhelníkem, který označuje, že funguje.

  8. Po 24 hodinách zastavte sadu kolektoru dat. Klikněte pravým tlačítkem na sadu kolekcí dat a vyberte Zastavit.

  9. V Průzkumník souborů přejděte do složky, do které byl uložen soubor .blg. Poklikáním ho otevřete v Sledování výkonu.

  10. Vyberte čítač Pakety za sekundu a zaznamenejte průměrnou a maximální hodnotu.

Poznámka

Defender for Identity ve výchozím nastavení podporuje až 350 senzorů. Pokud chcete nainstalovat více senzorů, kontaktujte podporu Defenderu for Identity.

Další krok

Konfigurace proxy koncového bodu a nastavení připojení k internetu »