Konfigurer portspejling
I denne artikel beskrives portspejlingsmuligheder for Microsoft Defender for Identity og er kun relevant for separate sensorer. Defender for Identity bruger hovedsageligt detaljeret pakkekontrol over netværkstrafik til og fra dine domænecontrollere. Hvis du vil se netværkstrafik for separate sensorer i Defender for Identity, skal du enten konfigurere portspejling eller bruge en Network TAP. Portspejling kopierer trafikken fra én port (kildeporten) til en anden port (destinationsporten).
Når du bruger portspejling, skal du konfigurere portspejling for hver domænecontroller, du overvåger som kilden til netværkstrafikken. Vi anbefaler, at du arbejder med dit netværks- eller virtualiseringsteam for at konfigurere portspejling.
Vigtigt!
Separate Defender for Identity-sensorer understøtter ikke indsamling af logposter for Hændelsessporing til Windows (ETW), der leverer dataene til flere registreringer. Hvis du vil have fuld dækning af dit miljø, anbefaler vi, at du installerer Defender for Identity-sensoren.
Vælg en portspejlingsmetode
Dine domænecontrollere og Defender for Identity-enkeltstående sensor kan være enten fysiske eller virtuelle. Følgende er almindelige metoder til portspejling og nogle overvejelser. Du kan få flere oplysninger i produktdokumentationen til parameteren eller virtualiseringsserveren. Switchproducenten bruger muligvis en anden terminologi.
| Metode | Beskrivelse |
|---|---|
| Omskiftet portanalyse (SPAN) | Kopierer netværkstrafik fra en eller flere switchporte til en anden switchport på den samme switch. Både den separate Defender for Identity-sensor og domænecontrollere skal være tilsluttet den samme fysiske switch. |
| RSPAN (Remote Switch Port Analyzer) | Giver dig mulighed for at overvåge netværkstrafik fra kildeporte, der distribueres via flere fysiske parametre. RSPAN kopierer kildetrafikken til en særlig RSPAN-konfigureret VLAN. Denne VLAN skal overføres til de andre parametre. RSPAN fungerer på Lag 2. |
| Encapsulated REMOTE Switch Port Analyzer (ERSPAN) | En Cisco-teknologi, der er beskyttet af ejendomsret, og som arbejder i Layer 3. ERSPAN giver dig mulighed for at overvåge trafik på tværs af kontakter uden behov for VLAN-stammer og bruger generisk routing-indkapsling (GRE) til at kopiere overvåget netværkstrafik. Defender for Identity kan i øjeblikket ikke modtage ERSPAN-trafik direkte. I stedet: 1. Konfigurer ERSPAN-destinationen, hvor trafikken indkapsler som en switch eller router, der kan indkapsle trafikken. 1. Konfigurer kontakten eller routeren til at videresende den indkapslede trafik til den separate Defender for Identity-sensor ved hjælp af enten SPAN eller RSPAN. |
Bemærk!
Hvis den domænecontroller, der er portspejlet, har forbindelse via et WAN-link, skal du sørge for, at WAN-linket kan håndtere den ekstra belastning af ERSPAN-trafikken.
Defender for Identity understøtter kun trafikovervågning, når trafikken når NIC'et og domænecontrolleren på samme måde. Defender for Identity understøtter ikke trafikovervågning, når trafikken brydes ud til forskellige porte.
Understøttede indstillinger for portspejling
I følgende tabel beskrives Defender for Identity's understøttelse af portspejlingskonfigurationer:
| Defender for Identity standalone sensor | Domænecontroller | Overvejelser |
|---|---|---|
| Virtuel | Virtuel på samme vært | Den virtuelle switch skal understøtte portspejling. Hvis du flytter en af de virtuelle maskiner til en anden vært alene, kan portens spejling blive brudt. |
| Virtuel | Virtuel på forskellige værter | Sørg for, at den virtuelle switch understøtter dette scenarie. |
| Virtuel | Fysisk | Kræver et dedikeret netværkskort, ellers kan Defender for Identity se al den trafik, der kommer ind og ud af værten, selv den trafik, den sender til cloudtjenesten Defender for Identity. |
| Fysisk | Virtuel | Sørg for, at den virtuelle switch understøtter dette scenarie – og portspejlingskonfigurationen på dine fysiske parametre baseret på scenariet: Hvis den virtuelle vært er på den samme fysiske switch, skal du konfigurere et skiftniveau. Hvis den virtuelle vært er på en anden switch, skal du konfigurere RSPAN eller ERSPAN*. |
| Fysisk | Fysisk på samme kontakt | Den fysiske kontakt skal understøtte SPAN/Port Mirroring. |
| Fysisk | Fysisk på en anden kontakt | Kræver fysiske parametre for at understøtte RSPAN eller ERSPAN ERSPAN understøttes kun, når decapsulation udføres, før trafikken analyseres af Defender for Identity. |
Bemærk!
Tiden på dine domænecontrollere og den tilsluttede Defender for Identity-sensor skal synkroniseres til inden for 5 minutter efter hinanden.
Relateret indhold
Du kan finde flere oplysninger under: