Voraussetzungen für Microsoft Defender for Identity eigenständigen Sensor
In diesem Artikel werden die Voraussetzungen für die Bereitstellung eines Microsoft Defender for Identity eigenständigen Sensors aufgeführt, bei denen sie sich von den Voraussetzungen für die Standard Bereitstellung unterscheiden.
Weitere Informationen finden Sie unter Planen der Kapazität für Microsoft Defender for Identity Bereitstellung.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Sammlung von ETW-Protokolleinträgen (Event Tracing for Windows), die die Daten für mehrere Erkennungen bereitstellen. Für eine vollständige Abdeckung Ihrer Umgebung empfehlen wir die Bereitstellung des Defender for Identity-Sensors.
Zusätzliche Systemanforderungen für eigenständige Sensoren
Eigenständige Sensoren unterscheiden sich wie folgt von den Voraussetzungen für den Defender for Identity-Sensor:
Eigenständige Sensoren erfordern mindestens 5 GB Speicherplatz
Eigenständige Sensoren können auch auf Servern installiert werden, die sich in einer Arbeitsgruppe befinden.
Eigenständige Sensoren können die Überwachung mehrerer Domänencontroller unterstützen, abhängig von der Menge des Netzwerkdatenverkehrs zu und von den Domänencontrollern.
Wenn Sie mit mehreren Gesamtstrukturen arbeiten, müssen Ihre eigenständigen Sensorcomputer über LDAP mit allen Remote-Gesamtstrukturdomänencontrollern kommunizieren dürfen.
Informationen zur Verwendung virtueller Computer mit dem eigenständigen Defender for Identity-Sensor finden Sie unter Konfigurieren der Portspiegelung.
Netzwerkadapter für eigenständige Sensoren
Eigenständige Sensoren erfordern mindestens einen der folgenden Netzwerkadapter:
Verwaltungsadapter : Werden für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Der Sensor verwendet diesen Adapter, um den zu schützenden DC abzufragen und die Auflösung für Computerkonten auszuführen.
Konfigurieren Sie Verwaltungsadapter mit statischen IP-Adressen, einschließlich eines Standardgateways, und bevorzugten und alternativen DNS-Servern.
Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Domäne für jede zu überwachende Domäne sein.
Hinweis
Wenn der eigenständige Defender for Identity-Sensor Mitglied der Domäne ist, kann dies automatisch konfiguriert werden.
Erfassungsadapter : Dient zum Erfassen von Datenverkehr zu und von den Domänencontrollern.
Wichtig
- Konfigurieren Sie die Portspiegelung für den Erfassungsadapter als Ziel des Netzwerkdatenverkehrs des Domänencontrollers. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam zusammenarbeiten, um die Portspiegelung zu konfigurieren.
- Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse (mit /32-Maske) für Ihre Umgebung ohne Standardsensorgateway und ohne DNS-Serveradressen. Beispiel: '10.10.0.10/32. Diese Konfiguration stellt sicher, dass der Capture-Netzwerkadapter die maximale Menge an Datenverkehr erfassen kann und dass der Verwaltungsnetzwerkadapter zum Senden und Empfangen des erforderlichen Netzwerkdatenverkehrs verwendet wird.
Hinweis
Wenn Sie Wireshark auf dem eigenständigen Defender for Identity-Sensor ausführen, starten Sie den Defender for Identity-Sensordienst neu, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn Sie den Sensordienst nicht neu starten, beendet der Sensor die Erfassung von Datenverkehr.
Wenn Sie versuchen, den Defender for Identity-Sensor auf einem Computer zu installieren, der mit einem NIC-Teamingadapter konfiguriert ist, erhalten Sie einen Installationsfehler. Wenn Sie den Defender for Identity-Sensor auf einem Computer installieren möchten, der mit NIC-Teaming konfiguriert ist, finden Sie weitere Informationen unter NIC-Teamingproblem des Defender for Identity-Sensors.
Ports für eigenständige Sensoren
In der folgenden Tabelle sind die zusätzlichen Ports aufgeführt, die für den eigenständigen Defender for Identity-Sensor auf dem Verwaltungsadapter konfiguriert werden müssen, zusätzlich zu den ports, die für den Defender for Identity-Sensor aufgeführt sind.
| Protokoll | Transport | Port | Von | An |
|---|---|---|---|---|
| Interne Ports | ||||
| LDAP | TCP und UDP | 389 | Defender for Identity-Sensor | Domänencontroller |
| Secure LDAP (LDAPS) | TCP | 636 | Defender for Identity-Sensor | Domänencontroller |
| LDAP zum globalen Katalog | TCP | 3268 | Defender for Identity-Sensor | Domänencontroller |
| LDAPS zum globalen Katalog | TCP | 3269 | Defender for Identity-Sensor | Domänencontroller |
| Kerberos | TCP und UDP | 88 | Defender for Identity-Sensor | Domänencontroller |
| Windows-Zeitdienst | UDP | 123 | Defender for Identity-Sensor | Domänencontroller |
| Syslog (optional) | TCP/UDP | 514, je nach Konfiguration | SIEM-Server | Defender for Identity-Sensor |
Windows-Ereignisprotokollanforderungen
Die Defender for Identity-Erkennung basiert auf bestimmten Windows-Ereignisprotokollen , die der Sensor von Ihren Domänencontrollern analysiert. Damit die richtigen Ereignisse überwacht und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Domänencontroller genaue Windows Advanced Audit Policy-Einstellungen.
Weitere Informationen finden Sie unter Erweiterte Überprüfung von Überwachungsrichtlinien und Erweiterte Sicherheitsüberwachungsrichtlinien in der Windows-Dokumentation.
Überprüfen Sie ihre NTLM-Überwachungseinstellungen, um sicherzustellen, dass Windows-Ereignis 8004 nach Bedarf vom Dienst überwacht wird.
Konfigurieren Sie für Sensoren, die auf AD FS-/AD CS-Servern ausgeführt werden, die Überwachungsebene auf Ausführlich. Weitere Informationen finden Sie unter Ereignisüberwachungsinformationen für AD FS und Ereignisüberwachungsinformationen für AD CS.