Planeamiento de la capacidad para la implementación de Microsoft Defender for Identity
En este artículo se describe cómo usar la herramienta de ajuste de tamaño Microsoft Defender for Identity para determinar si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Microsoft Defender for Identity.
Aunque es posible que el rendimiento del controlador de dominio no se vea afectado si el servidor no tiene los recursos necesarios, es posible que el sensor de Defender for Identity no funcione según lo previsto. Para obtener más información, consulte Microsoft Defender for Identity requisitos previos.
La herramienta de ajuste de tamaño mide solo la capacidad necesaria para los controladores de dominio. No es necesario ejecutarlo en servidores de AD FS, AD CS o Entra Connect, ya que el impacto en el rendimiento en estos servidores es extremadamente mínimo que no existe.
Sugerencia
De forma predeterminada, Defender for Identity admite hasta 350 sensores. Para instalar más sensores, póngase en contacto con el soporte técnico de Defender for Identity.
Requisitos previos
- Descargue la herramienta de ajuste de tamaño de Defender for Identity.
- Revise el artículo arquitectura de Defender for Identity .
- Revise el artículo requisitos previos de Defender for Identity .
Para garantizar resultados precisos, ejecute solo la herramienta de ajuste de tamaño antes de instalar los sensores de Defender for Identity en su entorno.
Uso de la herramienta de ajuste de tamaño
Ejecute la herramienta de ajuste de tamaño de Defender for Identity, TriSizingTool.exe, desde el archivo ZIP que descargó.
Cuando la herramienta termine de ejecutarse, abra los resultados del archivo de Excel.
En el archivo de Excel, busque y seleccione la hoja Resumen de Azure ATP y, a continuación, compruebe la columna Sensor Supported (Compatible con sensor) para ver los resultados que indican si el servidor es compatible.
Por ejemplo:
Nota:
La otra hoja del archivo se usa para el planeamiento de Advanced Threat Analytics (ATA) y no es necesaria para Defender for Identity.
La herramienta de ajuste de tamaño determina si el servidor se admite en función del valor De paquetes ocupados/segundo , que se calcula en función de los 15 minutos más ocupados durante un período de 24 horas.
Entre los resultados comunes se incluyen:
| Resultado | Descripción |
|---|---|
| Sí | El sensor se admite en el servidor. |
| Sí, pero se requieren recursos adicionales | El sensor se admite en el servidor siempre y cuando agregue los recursos que faltan especificados. |
| Quizás | El valor actual de Busy Packets/s puede ser significativamente mayor en ese punto que la media. Compruebe las marcas de tiempo para comprender los procesos que se ejecutan en ese momento y si puede limitar el ancho de banda de esos procesos en circunstancias normales. |
| Tal vez, pero se requieren recursos adicionales | Es posible que el sensor se admita en el servidor siempre que agregue los recursos que faltan especificados, o que los paquetes ocupados por segundo supere los 60 000. |
| No | El sensor no se admite en el servidor. El valor actual de Busy Packets/s puede ser significativamente mayor en ese punto que la media. Compruebe las marcas de tiempo para comprender los procesos que se ejecutan en ese momento y si puede limitar el ancho de banda de esos procesos en circunstancias normales. |
| Faltan datos del sistema operativo | Se produjo un problema al leer los datos del sistema operativo. Asegúrese de que la conexión al servidor puede consultar WMI de forma remota. |
| Datos de tráfico que faltan | Se produjo un problema al leer los datos de tráfico. Asegúrese de que la conexión al servidor puede consultar los contadores de rendimiento de forma remota. |
| Faltan datos de RAM | Se produjo un problema al leer los datos de RAM. Asegúrese de que la conexión al servidor puede consultar WMI de forma remota. |
| Faltan datos principales | Se produjo un problema al leer los datos principales. Asegúrese de que la conexión al servidor puede consultar WMI de forma remota. |
Por ejemplo, en la siguiente imagen se muestra un conjunto de resultados en los que Maybe indica que el valor de Busy Packets/s es significativamente mayor en ese punto que el promedio. Tenga en cuenta que la opción Mostrar las horas de controlador de dominio como UTC/Local está establecida en Hora de controlador de dominio local. Esta configuración ayuda a resaltar el hecho de que los valores se tomaron alrededor de las 3:30 AM.
Tamaño estimado del sensor de Defender for Identity
En la tabla siguiente se muestra la capacidad estimada de CPU y RAM necesaria para un sensor de Defender for Identity, en función de la cantidad típica de tráfico de red generada por un controlador de dominio.
Esta tabla es una estimación. La cantidad final que analiza el sensor depende de la cantidad de tráfico y de la distribución del tráfico.
| Paquetes ocupados/segundo | CPU (núcleos físicos) | RAM (GB) |
|---|---|---|
| 0-1 k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10 000-20 000 | 2.00 | 9.00 |
| 20 000-50 k | 3.50 | 9.50 |
| 50 000-75 k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
En esta tabla:
La capacidad de CPU y RAM hace referencia al consumo propio del sensor, no a la capacidad del controlador de dominio.
La capacidad de CPU no incluye núcleos hiperprocesos. Se recomienda no trabajar con núcleos hiperprocesos, lo que puede dar lugar a problemas de mantenimiento en el sensor de Defender for Identity.
Al determinar el tamaño, tenga en cuenta el número total de núcleos y la cantidad total de memoria que usará el servicio de sensor.
Para obtener más información, consulte Limitaciones de recursos.
Estimación manual del tamaño de los controladores de dominio
Si no puede usar la herramienta de tamaño, puede calcular manualmente si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Defender for Identity en su lugar.
Recopile manualmente la información del contador de paquetes o segundos de todos los controladores de dominio, durante 24 horas con un intervalo de recopilación bajo, como 5 segundos. Para cada controlador de dominio, calcule el promedio diario y el promedio del período más ocupado (15 minutos).
Varias herramientas pueden ayudarle a detectar el contador promedio de paquetes/segundo para el controlador de dominio. En este procedimiento se describe un ejemplo de cómo usar Monitor de rendimiento para recopilar la información pertinente.
Abra Monitor de rendimiento y expanda Conjuntos de recopiladores de datos.
Haga clic con el botón derecho en Definido por el usuario y seleccione Nuevo > conjunto de recopiladores de datos.
Escriba un nombre significativo para el conjunto de recopilador y seleccione Crear manualmente (avanzado).
En ¿Qué tipo de datos desea incluir?, seleccione Crear registros de datos y Contador de rendimiento.
Expanda Adaptador de red y, a continuación, seleccione Paquetes/s y el área de trabajo correspondiente. Si no está seguro de qué área de trabajo seleccionar, seleccione <Todas las áreas de trabajo>. Seleccione Agregar>aceptar para completar el paso.
Como alternativa, si va a realizar este paso desde la línea de comandos, ejecute
ipconfig /allpara ver el nombre y la configuración del adaptador.Cambie el intervalo de ejemplo a cinco segundos y defina dónde desea guardar los datos.
En Crear el conjunto de recopilador de datos, seleccione Iniciar este conjunto de recopilador de datos ahora>Finalizar.
Ahora debería ver el conjunto de recopilador de datos que creó con un triángulo verde que indica que funciona.
Después de 24 horas, detenga el conjunto de recopiladores de datos. Haga clic con el botón derecho en el conjunto de recopiladores de datos y seleccione Detener.
En Explorador de archivos, vaya a la carpeta donde se guardó el archivo .blg. Haga doble clic en él para abrirlo en Monitor de rendimiento.
Seleccione el contador Paquetes/s y registre los valores promedio y máximo.
Nota:
De forma predeterminada, Defender for Identity admite hasta 350 sensores. Si desea instalar más sensores, póngase en contacto con el soporte técnico de Defender for Identity.