Configuración de la creación de reflejo de puertos
En este artículo se describen las opciones de creación de reflejo de puertos para Microsoft Defender for Identity y solo es relevante para los sensores independientes. Defender for Identity usa principalmente la inspección profunda de paquetes a través del tráfico de red hacia y desde los controladores de dominio. Para que los sensores independientes de Defender for Identity vean el tráfico de red, debe configurar la creación de reflejo del puerto o usar un TAP de red. La creación de reflejo del puerto copia el tráfico de un puerto (el puerto de origen) a otro puerto (el puerto de destino).
Al usar la creación de reflejo de puertos, configure la creación de reflejo de puertos para cada controlador de dominio que esté supervisando como origen del tráfico de red. Se recomienda trabajar con el equipo de redes o virtualización para configurar la creación de reflejo de puertos.
Importante
Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, se recomienda implementar el sensor de Defender for Identity.
Elección de un método de creación de reflejo de puertos
Los controladores de dominio y el sensor independiente de Defender for Identity pueden ser físicos o virtuales. A continuación se muestran métodos comunes para la creación de reflejo de puertos y algunas consideraciones. Para obtener más información, consulte la documentación del producto del servidor de conmutación o virtualización. El fabricante del conmutador podría usar una terminología diferente.
| Método | Descripción |
|---|---|
| Analizador de puertos conmutados (SPAN) | Copia el tráfico de red de uno o varios puertos de conmutador a otro puerto de conmutador en el mismo conmutador. Tanto el sensor independiente de Defender for Identity como los controladores de dominio deben estar conectados al mismo conmutador físico. |
| Analizador de puertos de conmutador remoto (RSPAN) | Permite supervisar el tráfico de red desde puertos de origen distribuidos a través de varios conmutadores físicos. RSPAN copia el tráfico de origen en una VLAN especial configurada por RSPAN. Esta VLAN debe ser troncal a los otros switches implicados. RSPAN funciona en la capa 2. |
| Analizador de puertos de conmutador remoto encapsulado (ERSPAN) | Una tecnología propietaria de Cisco que trabaja en la capa 3. ERSPAN le permite supervisar el tráfico entre switches sin necesidad de troncos VLAN y usa encapsulación de enrutamiento genérico (GRE) para copiar el tráfico de red supervisado. Actualmente, Defender for Identity no puede recibir directamente el tráfico de ERSPAN. En lugar de: 1. Configure el destino ERSPAN donde el tráfico se decapsula como un switch o enrutador que puede decapsular el tráfico. 1. Configure el conmutador o enrutador para reenviar el tráfico decapsulado al sensor independiente de Defender for Identity mediante SPAN o RSPAN. |
Nota:
Si el controlador de dominio que se refleja en el puerto está conectado a través de un vínculo WAN, asegúrese de que el vínculo WAN puede controlar la carga adicional del tráfico ERSPAN.
Defender for Identity solo admite la supervisión del tráfico cuando el tráfico llega a la NIC y al controlador de dominio de la misma manera. Defender for Identity no admite la supervisión del tráfico cuando el tráfico se divide en puertos diferentes.
Opciones de creación de reflejo de puerto admitidas
En la tabla siguiente se describe la compatibilidad de Defender for Identity con las configuraciones de creación de reflejo de puertos:
| Sensor independiente de Defender for Identity | Controlador de dominio | Consideraciones |
|---|---|---|
| Virtual | Virtual en el mismo host | El conmutador virtual debe admitir la creación de reflejo de puertos. Mover una de las máquinas virtuales a otro host por sí mismo puede interrumpir la creación de reflejo del puerto. |
| Virtual | Virtual en hosts diferentes | Asegúrese de que el conmutador virtual admite este escenario. |
| Virtual | Físico | Requiere un adaptador de red dedicado; de lo contrario, Defender for Identity ve todo el tráfico que entra y sale del host, incluso el tráfico que envía al servicio en la nube de Defender for Identity. |
| Físico | Virtual | Asegúrese de que el conmutador virtual admite este escenario y la configuración de creación de reflejo de puertos en los conmutadores físicos en función del escenario: Si el host virtual está en el mismo conmutador físico, debe configurar un intervalo de nivel de conmutador. Si el host virtual está en un conmutador diferente, debe configurar RSPAN o ERSPAN*. |
| Físico | Físico en el mismo conmutador | El conmutador físico debe admitir span/port mirroring. |
| Físico | Físico en un conmutador diferente | Requiere conmutadores físicos para admitir RSPAN o ERSPAN ERSPAN solo se admite cuando se realiza la decapsulación antes de que Defender for Identity analice el tráfico. |
Nota:
El tiempo en los controladores de dominio y el sensor de Defender for Identity conectado deben sincronizarse con dentro de los 5 minutos de cada uno.
Contenido relacionado
Para más información, vea: