Porttien peilauksen määrittäminen
Tässä artikkelissa kuvataan Microsoft Defender for Identity portin peilausasetukset, ja se on merkityksellinen vain erillisille antureille. Defender for Identity käyttää pääasiassa syväpakettitarkastusta verkkoliikenteessä toimialueen ohjauskoneisiin ja toimialueen ohjauskoneista. Jotta defender for Identityn erilliset tunnistimet voivat nähdä verkkoliikenteen, sinun on joko määritettävä porttien peilaus tai käytettävä verkon napautusta. Portin peilaus kopioi liikenteen yhdestä portista (lähdeportti) toiseen porttiin (kohdeportti).
Kun käytät porttien peilausta, määritä portin peilaus kullekin toimialueen ohjauskoneelle, jota valvot verkkoliikenteen lähteenä. Suosittelemme tekemään yhteistyötä verkko- tai virtualisointitiimin kanssa porttien peilauksen määrittämiseksi.
Tärkeää
Defender for Identityn erilliset tunnistimet eivät tue Windowsin tapahtumien seurannan (ETW) lokimerkintöjen keräämistä, jotka antavat tiedot useita tunnistuksia varten. Suosittelemme, että otat Defender for Identity -tunnistimen käyttöön, jotta saat täyden kattavuuden ympäristöstäsi.
Valitse portin peilausmenetelmä
Toimialueen ohjauskoneet ja Defender for Identityn erillinen tunnistin voivat olla joko fyysisiä tai virtuaalisia. Seuraavat ovat yleisiä portin peilauksen menetelmiä ja joitakin huomioon otettavia seikkoja. Lisätietoja on switch- tai virtualisointipalvelimen tuotedokumentaatiossa. Valitsimen valmistaja saattaa käyttää eri termejä.
| Menetelmä | Kuvaus |
|---|---|
| Vaihdon porttianalysaattori (SPAN) | Kopioi verkkoliikenteen yhdestä tai useammasta vaihda porttia toiseen saman kytkimen porttiin. Sekä Defender for Identityn erillinen tunnistin että toimialueen ohjauskone on yhdistettävä samaan fyysiseen kytkimeen. |
| Etäkytkinportin analysointitoiminto (RSPAN) | Tämän avulla voit valvoa verkkoliikennettä lähdeporteista, jotka on jaettu useille fyysisille kytkimiin. RSPAN kopioi lähdeliikenteen erityiseen RSPAN-määritettyun VLAN-tiedostoon. Tämä VLAN on varattava muiden kytkinten kanssa. RSPAN toimii kerroksessa 2. |
| Encapsulated Remote Switch Port Analyzer (ERSPAN) | Cisco-omistusoikeudellinen tekniikka, joka toimii Layer 3:ssa. ERSPAN:in avulla voit valvoa liikennettä valitsimien välillä ilman VLAN-runkojen tarvetta ja käyttää yleistä reititys kapselointia (GRE) valvotun verkkoliikenteen kopioimiseen. Defender for Identity ei tällä hetkellä voi vastaanottaa ERSPAN-liikennettä suoraan. Sen sijaan: 1. Määritä ERSPAN-kohdesijainti, jossa liikenne katkaistaan, kytkimeksi tai reitittimeksi, joka pystyy katkaisemaan liikenteen. 1. Määritä kytkin tai reititin välittääksesi katkaistun liikenteen Defender for Identityn erilliseen tunnistimeen span- tai RSPAN-anturilla. |
Huomautus
Jos portin peilattu toimialueen ohjauskone on yhdistetty WAN-linkin kautta, varmista, että WAN-linkki pystyy käsittelemään ERSPAN-liikenteen lisäkuormituksen.
Defender for Identity tukee liikenteen valvontaa vain, kun liikenne saavuttaa verkkotunnuksen ja toimialueen ohjauskoneen samalla tavalla. Defender for Identity ei tue liikenteen seurantaa, kun liikenne on jaettu eri portteihin.
Tuetut porttien peilauksen asetukset
Seuraavassa taulukossa kuvataan Defenderin käyttäjätietojen tukea porttien peilauksen määrityksille:
| Defender for Identityn erillinen tunnistin | Toimialueen ohjain | Näkökohdat |
|---|---|---|
| Virtuaalinen | Virtuaali samassa isännässä | Näennäiskytkimen on tuettava porttien peilausta. Näennäiskoneen siirtäminen toiseen isäntään voi rikkoa portin peilauksen. |
| Virtuaalinen | Virtuaalinen eri isännissä | Varmista, että virtuaalikytkin tukee tätä skenaariota. |
| Virtuaalinen | Fyysinen | Edellyttää varattua verkkosovitinta, muussa tapauksessa Defender for Identity näkee kaiken isännän saapuvan ja siitä lähtevän liikenteen, jopa liikenteen, jonka se lähettää Defender for Identity -pilvipalvelulle. |
| Fyysinen | Virtuaalinen | Varmista, että virtuaalikytkin tukee tätä skenaariota ja porttien peilauksen määritystä fyysisissä kytkimissä skenaarion perusteella: Jos näennäisisäntä on samassa fyysisessä kytkimessä, sinun on määritettävä kytkintason span. Jos näennäisisäntä on eri valitsimella, sinun on määritettävä RSPAN tai ERSPAN*. |
| Fyysinen | Fyysinen samassa kytkimessä | Fyysisen kytkimen on tuettava SPAN/Port Mirroring -peilausta. |
| Fyysinen | Fyysinen eri valitsimella | Edellyttää fyysisiä kytkimiä RSPAN- tai ERSPAN-tuen tueksi ERSPAN-toimintoa tuetaan vain, kun kapselointi suoritetaan, ennen kuin Defender for Identity analysoi liikenteen. |
Huomautus
Toimialueen ohjauskoneiden ja yhdistetyn Defender for Identity -tunnistimen aika on synkronoitava 5 minuutin kuluessa muista.
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: