Planlæg kapacitet til Microsoft Defender for Identity udrulning
I denne artikel beskrives det, hvordan du bruger tilpasningsværktøjet til Microsoft Defender for Identity til at afgøre, om dine domænecontrollerservere har tilstrækkelige ressourcer til en Microsoft Defender for Identity sensor.
Selvom ydeevnen for domænecontrolleren muligvis ikke påvirkes, hvis serveren ikke har påkrævede ressourcer, fungerer Defender for Identity-sensoren muligvis ikke som forventet. Du kan få flere oplysninger under Microsoft Defender for Identity forudsætninger.
Tilpasningsværktøjet måler kun den kapacitet, der er nødvendig for domænecontrollere. Det er ikke nødvendigt at køre den mod AD FS/AD CS/Entra Connect-servere, da påvirkningen af ydeevnen på disse servere er meget minimal for ikke at eksistere.
Tip
Som standard understøtter Defender for Identity op til 350 sensorer. Hvis du vil installere flere sensorer, skal du kontakte Support til Defender for Identity.
Forudsætninger
- Download tilpasningsværktøjet til Defender for Identity.
- Gennemse artiklen Defender for Identity Architecture .
- Gennemse artiklen Defender for Identity-forudsætninger .
Hvis du vil sikre nøjagtige resultater, skal du kun køre tilpasningsværktøjet, før du har installeret en Defender for Identity-sensor i dit miljø.
Brug tilpasningsværktøjet
Kør størrelsesværktøjet Defender for Identity TriSizingTool.exefra den zip-fil, du har downloadet.
Når værktøjet er færdig med at køre, skal du åbne Excel-filresultaterne.
Find og vælg Azure ATP-oversigtsarket i Excel-filen, og kontrollér derefter kolonnen Sensorunderstøttet for resultater, der angiver, om serveren understøttes.
Det kan f.eks. være:
Bemærk!
Det andet ark i filen bruges til planlægning af Advanced Threat Analytics (ATA) og er ikke nødvendigt for Defender for Identity.
Størrelsesværktøjet bestemmer, om serveren understøttes på baggrund af værdien Optaget/Anden , som beregnes på baggrund af de 15 travleste minutter over en 24-timers periode.
Almindelige resultater omfatter:
| Resultat | Beskrivelse |
|---|---|
| Ja | Sensoren understøttes på serveren. |
| Ja, men der kræves flere ressourcer | Sensoren understøttes på serveren, så længe du tilføjer de angivne manglende ressourcer. |
| Måske | Den aktuelle værdi for optaget antal pakker pr. sekund kan være betydeligt højere på dette tidspunkt end gennemsnittet. Kontrollér tidsstempler for at forstå de processer, der kører på det pågældende tidspunkt, og om du kan begrænse båndbredden for disse processer under normale omstændigheder. |
| Måske, men der kræves yderligere ressourcer | Sensoren understøttes muligvis på serveren, så længe du tilføjer eventuelle angivne manglende ressourcer, eller pakkerne optaget pr. sekund kan være over 60.000. |
| Nej | Sensoren understøttes ikke på din server. Den aktuelle værdi for optaget antal pakker pr. sekund kan være betydeligt højere på dette tidspunkt end gennemsnittet. Kontrollér tidsstempler for at forstå de processer, der kører på det pågældende tidspunkt, og om du kan begrænse båndbredden for disse processer under normale omstændigheder. |
| Manglende os-data | Der opstod et problem under læsning af operativsystemdataene. Sørg for, at forbindelsen til serveren kan sende en fjernforespørgsel til WMI. |
| Manglende trafikdata | Der opstod et problem under læsning af trafikdataene. Sørg for, at forbindelsen til serveren kan forespørge ydelsestællere eksternt. |
| Manglende RAM-data | Der opstod et problem under læsning af RAM-dataene. Sørg for, at forbindelsen til serveren kan sende en fjernforespørgsel til WMI. |
| Manglende kernedata | Der opstod et problem under læsning af kernedataene. Sørg for, at forbindelsen til serveren kan sende en fjernforespørgsel til WMI. |
På følgende billede kan du f.eks. se et sæt resultater, hvor værdien Måske angiver, at værdien optaget pakke pr. sekund er betydeligt højere på dette tidspunkt end gennemsnittet. Bemærk, at Vis DC-tider som UTC/Lokal er angivet til Lokal DC-tid. Denne indstilling hjælper med at fremhæve det faktum, at værdierne blev taget omkring kl. 03:30.
Anslået størrelse på Defender for Identity-sensor
I følgende tabel vises den anslåede CPU- og RAM-kapacitet, der er nødvendig for en Defender for Identity-sensor, baseret på den typiske mængde netværkstrafik, der genereres af en domænecontroller.
Denne tabel er et estimat. Det endelige beløb, som sensoren fortolker, afhænger af mængden af trafik og fordelingen af trafik.
| Travle pakker/sekund | CPU (fysiske kerner) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
I denne tabel:
CPU- og RAM-kapacitet refererer til sensorens eget forbrug og ikke domænecontrollerkapaciteten.
CPU-kapacitet omfatter ikke hypertrådede kerner. Vi anbefaler, at du ikke arbejder med hypertrådede kerner, hvilket kan medføre tilstandsproblemer i Defender for Identity-sensoren.
Når du bestemmer størrelsen, skal du huske på det samlede antal kerner og den samlede mængde hukommelse, der bruges af sensortjenesten.
Du kan få flere oplysninger under Ressourcebegrænsninger.
Manuel estimering af størrelse for domænecontrollere
Hvis du ikke kan bruge tilpasningsværktøjet, kan du manuelt vurdere, om dine domænecontrollerservere har tilstrækkelige ressourcer til en Defender for Identity-sensor i stedet.
Indsaml pakken/sekundtælleroplysningerne manuelt fra alle dine domænecontrollere over 24 timer med et lavt indsamlingsinterval, f.eks. 5 sekunder. For hver domænecontroller skal du beregne det daglige gennemsnit og det travleste periodegennemsnit (15 minutter).
Forskellige værktøjer kan hjælpe dig med at finde den gennemsnitlige pakke/sekundtæller for din domænecontroller. I denne procedure beskrives et eksempel på, hvordan du bruger Ydelsesmåler til at indsamle de relevante oplysninger.
Åbn Ydelsesmåler, og udvid Dataindsamlersæt.
Højreklik på Brugerdefineret , og vælg Nyt > dataindsamlersæt.
Angiv et sigende navn til indsamlingssættet, og vælg Opret manuelt (avanceret).
Under Hvilken type data vil du medtage?, skal du vælge Opret datalogge og Ydelsestæller.
Udvid Netværkskort, og vælg derefter Pakker pr. sekund og det relevante arbejdsområde. Hvis du ikke er sikker på, hvilket arbejdsområde du vil vælge, skal du vælge <Alle arbejdsområder>. Vælg Tilføj>OK for at fuldføre trinnet.
Hvis du udfører dette trin fra kommandolinjen, kan du også køre
ipconfig /allfor at se adapternavnet og -konfigurationen.Ret eksempelintervallet til fem sekunder, og definer, hvor dataene skal gemmes.
Under Opret dataindsamlersættet skal du vælge Start dette dataindsamlersæt nu>Afslut.
Du kan nu se det dataindsamlersæt, du har oprettet, med en grøn trekant, der angiver, at det fungerer.
Stop dataindsamlersættet efter 24 timer. Højreklik på dataindsamlersættet, og vælg Stop.
I Stifinder skal du gå til den mappe, hvor .blg-filen blev gemt. Dobbeltklik på den for at åbne den i Ydelsesmåler.
Vælg tælleren Pakker pr. sekund , og registrer gennemsnits- og maksimumværdierne.
Bemærk!
Som standard understøtter Defender for Identity op til 350 sensorer. Hvis du vil installere flere sensorer, skal du kontakte Support til Defender for Identity.