Konfigurieren der Portspiegelung
In diesem Artikel werden optionen für die Portspiegelung für Microsoft Defender for Identity beschrieben und sind nur für eigenständige Sensoren relevant. Defender for Identity verwendet hauptsächlich eine umfassende Paketüberprüfung über den Netzwerkdatenverkehr zu und von Ihren Domänencontrollern. Damit eigenständige Defender for Identity-Sensoren Netzwerkdatenverkehr anzeigen können, müssen Sie entweder die Portspiegelung konfigurieren oder einen Netzwerk-TAP verwenden. Die Portspiegelung kopiert den Datenverkehr von einem Port (dem Quellport) in einen anderen Port (den Zielport).
Konfigurieren Sie bei Verwendung der Portspiegelung die Portspiegelung für jeden Domänencontroller, den Sie als Quelle ihres Netzwerkdatenverkehrs überwachen. Es wird empfohlen, mit Ihrem Netzwerk- oder Virtualisierungsteam zusammenzuarbeiten, um die Portspiegelung zu konfigurieren.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.
Auswählen einer Portspiegelungsmethode
Ihre Domänencontroller und der eigenständige Defender for Identity-Sensor können entweder physisch oder virtuell sein. Im Folgenden finden Sie gängige Methoden für die Portspiegelung und einige Überlegungen. Weitere Informationen finden Sie in der Produktdokumentation zu Ihrem Switch- oder Virtualisierungsserver. Ihr Switchhersteller verwendet möglicherweise eine andere Terminologie.
| Methode | Beschreibung |
|---|---|
| Switched Port Analyzer (SPAN) | Kopiert Netzwerkdatenverkehr von einem oder mehreren Switchports in einen anderen Switchport auf demselben Switch. Sowohl der eigenständige Defender for Identity-Sensor als auch die Domänencontroller müssen mit demselben physischen Switch verbunden sein. |
| Remote Switch Port Analyzer (RSPAN) | Ermöglicht die Überwachung des Netzwerkdatenverkehrs von Quellports, die über mehrere physische Switches verteilt sind. RSPAN kopiert den Quelldatenverkehr in ein spezielles, FÜR RSPAN konfiguriertes VLAN. Dieses VLAN muss mit den anderen beteiligten Switches trunked werden. RSPAN funktioniert auf Schicht 2. |
| Encapsulated Remote Switch Port Analyzer (ERSPAN) | Eine proprietäre Cisco-Technologie, die auf Schicht 3 arbeitet. ERSPAN ermöglicht es Ihnen, den Datenverkehr über Switches hinweg zu überwachen, ohne VLAN-Trunks zu benötigen, und verwendet die generische Routingkapselung (GRE), um den überwachten Netzwerkdatenverkehr zu kopieren. Defender for Identity kann derzeit ERSPAN-Datenverkehr nicht direkt empfangen. Stattdessen: 1. Konfigurieren Sie das ERSPAN-Ziel, in dem der Datenverkehr gekapselt wird, als Switch oder Router, der den Datenverkehr entkapseln kann. 1. Konfigurieren Sie den Switch oder Router so, dass der gekapselte Datenverkehr mithilfe von SPAN oder RSPAN an den eigenständigen Defender for Identity-Sensor weitergeleitet wird. |
Hinweis
Wenn der Domänencontroller, für den der Port gespiegelt wird, über eine WAN-Verbindung verbunden ist, stellen Sie sicher, dass die WAN-Verbindung die zusätzliche Last des ERSPAN-Datenverkehrs verarbeiten kann.
Defender for Identity unterstützt die Datenverkehrsüberwachung nur, wenn der Datenverkehr die NIC und den Domänencontroller auf die gleiche Weise erreicht. Defender for Identity unterstützt keine Datenverkehrsüberwachung, wenn der Datenverkehr an verschiedene Ports aufgeteilt wird.
Unterstützte Portspiegelungsoptionen
In der folgenden Tabelle wird die Unterstützung von Defender for Identity für Portspiegelungskonfigurationen beschrieben:
| Eigenständiger Defender for Identity-Sensor | Domänencontroller | Überlegungen |
|---|---|---|
| Virtuell | Virtuell auf demselben Host | Der virtuelle Switch muss die Portspiegelung unterstützen. Durch das Verschieben einer der virtuellen Computer auf einen anderen Host kann die Portspiegelung unterbrochen werden. |
| Virtuell | Virtuell auf verschiedenen Hosts | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt. |
| Virtuell | Physisch | Erfordert einen dedizierten Netzwerkadapter, andernfalls sieht Defender for Identity den gesamten eingehenden und ausgehenden Datenverkehr auf dem Host, auch den Datenverkehr, den er an den Defender for Identity-Clouddienst sendet. |
| Physisch | Virtuell | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario und die Konfiguration der Portspiegelung auf Ihren physischen Switches basierend auf diesem Szenario unterstützt: Wenn sich der virtuelle Host auf demselben physischen Switch befindet, müssen Sie eine Switchebenenspanne konfigurieren. Wenn sich der virtuelle Host auf einem anderen Switch befindet, müssen Sie RSPAN oder ERSPAN* konfigurieren. |
| Physisch | Physisch auf demselben Schalter | Der physische Switch muss SPAN/Portspiegelung unterstützen. |
| Physisch | Physisch auf einem anderen Schalter | Erfordert physische Switches zur Unterstützung von RSPAN oder ERSPAN ERSPAN wird nur unterstützt, wenn eine Entkapselung durchgeführt wird, bevor der Datenverkehr von Defender for Identity analysiert wird. |
Hinweis
Die Zeit auf Ihren Domänencontrollern und dem verbundenen Defender for Identity-Sensor muss innerhalb von fünf Minuten nacheinander synchronisiert werden.
Verwandte Inhalte
Weitere Informationen finden Sie unter: