Planen der Kapazität für Microsoft Defender for Identity Bereitstellung
In diesem Artikel wird beschrieben, wie Sie mit dem Tool zur größenanpassung Microsoft Defender for Identity ermitteln, ob Ihre Domänencontrollerserver über genügend Ressourcen für einen Microsoft Defender for Identity Sensor verfügen.
Obwohl die Leistung des Domänencontrollers möglicherweise nicht beeinträchtigt wird, wenn der Server nicht über erforderliche Ressourcen verfügt, funktioniert der Defender for Identity-Sensor möglicherweise nicht wie erwartet. Weitere Informationen finden Sie unter Microsoft Defender for Identity Voraussetzungen.
Das Tool zur Größenanpassung misst die kapazität, die nur für Domänencontroller benötigt wird. Es ist nicht erforderlich, sie für AD FS-/AD CS-/Entra Connect-Server auszuführen, da die Auswirkungen auf die Leistung auf diese Server extrem gering sind und nicht vorhanden sind.
Tipp
Defender for Identity unterstützt standardmäßig bis zu 350 Sensoren. Wenden Sie sich an den Defender for Identity-Support, um weitere Sensoren zu installieren.
Voraussetzungen
- Laden Sie das Defender for Identity-Tool zur Größenanpassung herunter.
- Lesen Sie den Artikel Defender for Identity-Architektur .
- Lesen Sie den Artikel Voraussetzungen für Defender for Identity .
Um genaue Ergebnisse zu gewährleisten, führen Sie das Tool zur Größenanpassung nur aus, bevor Sie Defender for Identity-Sensoren in Ihrer Umgebung installiert haben.
Verwenden des Größenanpassungstools
Führen Sie das Tool für die Größenanpassung von Defender for Identity TriSizingTool.exeaus der heruntergeladenen ZIP-Datei aus.
Wenn die Ausführung des Tools abgeschlossen ist, öffnen Sie die Excel-Dateiergebnisse.
Suchen Sie in der Excel-Datei das Blatt Azure ATP-Zusammenfassung , wählen Sie es aus, und überprüfen Sie dann die Spalte Sensor Supported (Sensor unterstützt ) auf Ergebnisse, die angeben, ob Ihr Server unterstützt wird.
Zum Beispiel:
Hinweis
Das andere Blatt in der Datei wird für die Planung von Advanced Threat Analytics (ATA) verwendet und für Defender for Identity nicht benötigt.
Das Größenanpassungstool bestimmt, ob Ihr Server unterstützt wird, basierend auf dem Wert ausgelastete Pakete/Sekunde , der auf der Grundlage der 15 ausgelastesten Minuten über einen Zeitraum von 24 Stunden berechnet wird.
Häufige Ergebnisse sind:
| Ergebnis | Beschreibung |
|---|---|
| Ja | Der Sensor wird auf Ihrem Server unterstützt. |
| Ja, aber zusätzliche Ressourcen erforderlich | Der Sensor wird auf Ihrem Server unterstützt, solange Sie angegebene fehlende Ressourcen hinzufügen. |
| Vielleicht | Der aktuelle Wert ausgelastete Pakete/Sekunde kann zu diesem Zeitpunkt deutlich höher als der Durchschnitt sein. Überprüfen Sie die Zeitstempel, um zu verstehen, welche Prozesse zu diesem Zeitpunkt ausgeführt werden, und ob Sie die Bandbreite für diese Prozesse unter normalen Umständen einschränken können. |
| Vielleicht, aber zusätzliche Ressourcen erforderlich | Der Sensor kann auf Ihrem Server unterstützt werden, solange Sie angegebene fehlende Ressourcen hinzufügen, oder die Ausgelasteten Pakete/Sekunde können über 60.000 liegen. |
| Nein | Der Sensor wird auf Ihrem Server nicht unterstützt. Der aktuelle Wert ausgelastete Pakete/Sekunde kann zu diesem Zeitpunkt deutlich höher als der Durchschnitt sein. Überprüfen Sie die Zeitstempel, um zu verstehen, welche Prozesse zu diesem Zeitpunkt ausgeführt werden, und ob Sie die Bandbreite für diese Prozesse unter normalen Umständen einschränken können. |
| Fehlende Betriebssystemdaten | Beim Lesen der Betriebssystemdaten ist ein Problem aufgetreten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
| Fehlende Verkehrsdaten | Beim Lesen der Verkehrsdaten ist ein Problem aufgetreten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server Leistungsindikatoren remote abfragen kann. |
| Fehlende RAM-Daten | Beim Lesen der RAM-Daten ist ein Problem aufgetreten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
| Fehlende Kerndaten | Es gab ein Problem beim Lesen der Kerndaten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
Die folgende Abbildung zeigt z. B. eine Reihe von Ergebnissen, bei denen der Vielleicht-Wert angibt, dass der Wert für ausgelastete Pakete/Sekunde zu diesem Zeitpunkt deutlich höher als der Durchschnitt ist. Beachten Sie, dass die Anzeige von DC-Zeiten als UTC/Lokal auf Lokale DC-Zeit festgelegt ist. Diese Einstellung trägt dazu bei, dass die Werte gegen 3:30 Uhr übernommen wurden.
Geschätzte Größe des Defender for Identity-Sensors
Die folgende Tabelle zeigt die geschätzte CPU- und RAM-Kapazität, die für einen Defender for Identity-Sensor benötigt wird, basierend auf der typischen Menge an Netzwerkdatenverkehr, der von einem Domänencontroller generiert wird.
Diese Tabelle ist eine Schätzung. Die endgültige Menge, die der Sensor analysiert, hängt von der Menge des Datenverkehrs und der Verteilung des Datenverkehrs ab.
| Ausgelastete Pakete/Sekunde | CPU (physische Kerne) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10.000 bis 20.000 | 2.00 | 9.00 |
| 20.000 bis 50.000 | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
In dieser Tabelle:
CPU- und RAM-Kapazität bezieht sich auf die eigene Nutzung des Sensors, nicht auf die Domänencontrollerkapazität.
Die CPU-Kapazität umfasst keine Hyperthreadkerne. Es wird empfohlen, nicht mit Hyperthreadkernen zu arbeiten, was zu Integritätsproblemen im Defender for Identity-Sensor führen kann.
Berücksichtigen Sie beim Bestimmen der Größenanpassung die Gesamtanzahl der Kerne und die Gesamtmenge des Arbeitsspeichers, die vom Sensordienst verwendet werden.
Weitere Informationen finden Sie unter Ressourcenbeschränkungen.
Manuelle Größenschätzung für Domänencontroller
Wenn Sie das Tool zur Größenanpassung nicht verwenden können, können Sie manuell einschätzen, ob Ihre Domänencontrollerserver stattdessen über genügend Ressourcen für einen Defender for Identity-Sensor verfügen.
Sammeln Sie die Paket-/Sekundenzählerinformationen von allen Domänencontrollern manuell, und zwar über 24 Stunden mit einem niedrigen Sammlungsintervall wie 5 Sekunden. Berechnen Sie für jeden Domänencontroller den Tagesdurchschnitt und den durchschnittlichen Zeitraum mit der größten Auslastung (15 Minuten).
Verschiedene Tools können Ihnen helfen, den durchschnittlichen Paket-/Sekundenzähler für Ihren Domänencontroller zu ermitteln. In diesem Verfahren wird ein Beispiel für die Verwendung von Leistungsmonitor beschrieben, um die relevanten Informationen zu sammeln.
Öffnen Sie Leistungsmonitor, und erweitern Sie Datensammlersätze.
Klicken Sie mit der rechten Maustaste auf Benutzerdefiniert , und wählen Sie Neuer > Datensammlersatz aus.
Geben Sie einen aussagekräftigen Namen für den Sammlungssatz ein, und wählen Sie Manuell erstellen (Erweitert) aus.
Wählen Sie unter Welche Art von Daten möchten Sie einschließen? die Option Datenprotokolle erstellen und Leistungsindikator aus.
Erweitern Sie Netzwerkadapter , und wählen Sie dann Pakete/Sekunde und den relevanten Arbeitsbereich aus. Wenn Sie nicht sicher sind, welcher Arbeitsbereich ausgewählt werden soll, wählen Sie Alle Arbeitsbereiche aus<>. Wählen Sie Hinzufügen>OK aus, um den Schritt abzuschließen.
Wenn Sie diesen Schritt über die Befehlszeile ausführen, führen
ipconfig /allSie alternativ aus, um den Adapternamen und die Konfiguration anzuzeigen.Ändern Sie das Sample-Intervall in fünf Sekunden, und definieren Sie, wo die Daten gespeichert werden sollen.
Wählen Sie unter Datensammlersatz erstellen die Option Diesen Datensammlersatz jetzt>starten Fertig stellen aus.
Nun sollte der von Ihnen erstellte Datensammlersatz mit einem grünen Dreieck angezeigt werden, das angibt, dass es funktioniert.
Beenden Sie den Datensammlersatz nach 24 Stunden. Klicken Sie mit der rechten Maustaste auf den Datensammlersatz, und wählen Sie Beenden aus.
Navigieren Sie Explorer zu dem Ordner, in dem die BLG-Datei gespeichert wurde. Doppelklicken Sie darauf, um es in Leistungsmonitor zu öffnen.
Wählen Sie den Zähler Pakete/Sekunde aus, und notieren Sie sich die Durchschnitts- und Höchstwerte.
Hinweis
Defender for Identity unterstützt standardmäßig bis zu 350 Sensoren. Wenn Sie weitere Sensoren installieren möchten, wenden Sie sich an den Defender for Identity-Support.