Microsoft Defender for Identity enkeltstående sensorforudsætningerne
Denne artikel indeholder en liste over forudsætninger for installation af en Microsoft Defender for Identity enkeltstående sensor, hvor de adskiller sig fra de primære udrulningsforudsætningerne.
Du kan få flere oplysninger under Planlæg kapacitet til Microsoft Defender for Identity udrulning.
Vigtigt!
Separate Defender for Identity-sensorer understøtter ikke indsamling af logposter for Hændelsessporing til Windows (ETW), der leverer dataene til flere registreringer. Hvis du vil have fuld dækning af dit miljø, anbefaler vi, at du installerer Defender for Identity-sensoren.
Ekstra systemkrav til separate sensorer
Separate sensorer adskiller sig fra Defender for Identity-sensorforudsætninger på følgende måde:
Separate sensorer kræver mindst 5 GB diskplads
Separate sensorer kan også installeres på servere, der er i en arbejdsgruppe.
Separate sensorer kan understøtte overvågning af flere domænecontrollere, afhængigt af mængden af netværkstrafik til og fra domænecontrollerne.
Hvis du arbejder med flere skove, skal dine separate sensormaskiner have tilladelse til at kommunikere med alle fjernskovsdomænecontrollere ved hjælp af LDAP.
Du kan få oplysninger om brug af virtuelle maskiner med den separate Defender for Identity-sensor under Konfigurer portspejling.
Netværkskort til separate sensorer
Separate sensorer kræver mindst ét af følgende netværkskort:
Administrationsadaptere – bruges til kommunikation på virksomhedens netværk. Sensoren bruger denne adapter til at forespørge den DC, den beskytter og udfører løsning på computerkonti.
Konfigurer administrationsadaptere med statiske IP-adresser, herunder en standardgateway, og foretrukne og alternative DNS-servere.
DNS-suffikset for denne forbindelse skal være domænets DNS-navn for hvert domæne, der overvåges.
Bemærk!
Hvis den separate Defender for Identity-sensor er medlem af domænet, kan dette konfigureres automatisk.
Capture adapter – bruges til at hente trafik til og fra domænecontrollere.
Vigtigt!
- Konfigurer portspejling for hentningsadapteren som destination for domænecontrollerens netværkstrafik. Du skal typisk arbejde med netværks- eller virtualiseringsteamet for at konfigurere portspejling.
- Konfigurer en statisk IP-adresse, der ikke kan sendes (med /32-maske) for dit miljø uden standardsensorgateway og ingen DNS-serveradresser. Eksempel: '10.10.0.10/32. Denne konfiguration sikrer, at hentningsnetværksadapteren kan registrere den maksimale mængde trafik, og at administrationsnetværkskortet bruges til at sende og modtage den påkrævede netværkstrafik.
Bemærk!
Hvis du kører Wireshark på Defender for Identity standalone sensor, skal du genstarte tjenesten Defender for Identity-sensor, når du har stoppet Wireshark-registreringen. Hvis du ikke genstarter sensortjenesten, holder sensoren op med at registrere trafik.
Hvis du forsøger at installere Defender for Identity-sensoren på en computer, der er konfigureret med et NIC Teaming-adapter, får du vist en installationsfejl. Hvis du vil installere Defender for Identity-sensoren på en maskine, der er konfigureret med NIC-teaming, skal du se Problemet med NIC-teaming for defender for identitetssensor.
Porte til separate sensorer
I følgende tabel vises de ekstra porte, som den separate Defender for Identity-sensor kræver konfigureret på administrationsadapteren, ud over de porte, der er angivet for Defender for Identity-sensoren.
| Protokol | Transport | Havn | Fra | Til |
|---|---|---|---|---|
| Interne porte | ||||
| LDAP | TCP og UDP | 389 | Defender for Identity-sensor | Domænecontrollere |
| Sikker LDAP (LDAPS) | TCP | 636 | Defender for Identity-sensor | Domænecontrollere |
| LDAP til globalt katalog | TCP | 3268 | Defender for Identity-sensor | Domænecontrollere |
| LDAPS til globalt katalog | TCP | 3269 | Defender for Identity-sensor | Domænecontrollere |
| Kerberos | TCP og UDP | 88 | Defender for Identity-sensor | Domænecontrollere |
| Windows Time | UDP | 123 | Defender for Identity-sensor | Domænecontrollere |
| Syslog (valgfrit) | TCP/UDP | 514, afhængigt af konfigurationen | SIEM-server | Defender for Identity-sensor |
Krav til Windows-hændelseslog
Defender for Identity Detection er afhængig af specifikke Windows-hændelseslogge , som sensoren fortolker fra dine domænecontrollere. Hvis de korrekte hændelser skal overvåges og inkluderes i Windows-hændelsesloggen, kræver dine domænecontrollere nøjagtige indstillinger for avanceret overvågningspolitik i Windows.
Du kan få flere oplysninger under Avanceret kontrol af overvågningspolitik og Avancerede overvågningspolitikker for sikkerhed i Dokumentationen til Windows.
Gennemse indstillingerne for NTLM-overvågning for at sikre, at Windows Event 8004 overvåges efter behov af tjenesten.
For sensorer, der kører på AD FS/AD CS-servere, skal du konfigurere overvågningsniveauet til Detaljeret. Du kan få flere oplysninger under Oplysninger om hændelsesovervågning for AD FS og Overvågning af hændelser for AD CS.