Microsoft Defender for Identity erillisen tunnistimen edellytykset
Tässä artikkelissa luetellaan erillistunnistimen käyttöönottoedellytykset Microsoft Defender for Identity, jotka poikkeavat tärkeimmistä käyttöönottoedellytyksistä.
Lisätietoja on artikkelissa Microsoft Defender for Identity käyttöönoton kapasiteetin suunnitteleminen.
Tärkeää
Defender for Identityn erilliset tunnistimet eivät tue Windowsin tapahtumien seurannan (ETW) lokimerkintöjen keräämistä, jotka antavat tiedot useita tunnistuksia varten. Suosittelemme, että otat Defender for Identity -tunnistimen käyttöön, jotta saat täyden kattavuuden ympäristöstäsi.
Ylimääräiset järjestelmävaatimukset erillisille antureille
Erilliset tunnistimet eroavat Defender for Identity -tunnistimen edellytyksistä seuraavasti:
Erilliset tunnistimet vaativat vähintään 5 Gt levytilaa
Työryhmään tallennettuihin palvelimiin voidaan asentaa myös erillisiä tunnistimia.
Erilliset tunnistimet voivat tukea useiden toimialueen ohjauskoneiden seurantaa sen mukaan, kuinka paljon verkkoliikennettä toimialueen ohjauskoneisiin ja niistä pois on.
Jos työskentelet useiden metsien kanssa, itsenäisten tunnistinkoneiden on voitava olla yhteydessä kaikkiin etäpuuryhmän toimialueen ohjauskoneisiin LDAP:n avulla.
Lisätietoja näennäiskoneiden käyttämisestä Defender for Identityn erillisen tunnistimen kanssa on kohdassa Porttien peilauksen määrittäminen.
Erillisantureiden verkkosovittimet
Erilliset tunnistimet edellyttävät vähintään yhtä seuraavista verkkosovittimista:
Hallintasovittimet – käytetään viestintään yrityksen verkossa. Tunnistin käyttää tätä sovitinta kyselyn suorittamiseen tasavirtaan, jonka se suojaa ja suorittaa resoluutiota tietokonetileille.
Määritä hallintasovittimet staattisilla IP-osoitteilla, mukaan lukien oletusyhdyskäytävä, sekä ensisijaiset ja vaihtoehtoiset DNS-palvelimet.
Tämän yhteyden DNS-jälkiliitteen on oltava kunkin valvottavan toimialueen DNS-nimi.
Huomautus
Jos Defender for Identityn erillinen tunnistin on toimialueen jäsen, se voidaan määrittää automaattisesti.
Sieppaussovitin – käytetään liikenteen sieppaamiseen toimialueen ohjauskoneisiin ja toimialueen ohjauskoneista.
Tärkeää
- Määritä sieppaussovittimen porttipeilaus toimialueen ohjauskoneen verkkoliikenteen kohteeksi. Yleensä sinun on tehtävä yhteistyötä verkko- tai virtualisointitiimin kanssa porttien peilauksen määrittämiseksi.
- Määritä staattinen ei-reititettävä IP-osoite (jossa on /32-peite) ympäristöllesi ilman oletustunnistimen yhdyskäytävää eikä DNS-palvelimen osoitteita. Esimerkki: '10.10.0.10/32. Tämä määritys varmistaa, että sieppausverkon sovitin pystyy sieppaamaan suurimman määrän liikennettä ja että hallinnan verkkosovitinta käytetään tarvittavan verkkoliikenteen lähettämiseen ja vastaanottamiseen.
Huomautus
Jos suoritat Wireshekin Defender for Identityn erillisessä tunnistimella, käynnistä Defender for Identity -tunnistinpalvelu uudelleen, kun olet pysäyttänyt Wireshekin sieppauksen. Jos et käynnistä tunnistinpalvelua uudelleen, tunnistin lakkaa sieppaamasta liikennettä.
Jos yrität asentaa Defender for Identity -tunnistimen tietokoneeseen, jolle on määritetty NIC Teaming -sovitin, saat asennusvirheen. Jos haluat asentaa Defender for Identity -tunnistimen tietokoneeseen, jolle on määritetty NIC-tiimi, katso Defender for Identity sensor NIC -tiimiongelma.
Erillisantureiden portit
Seuraavassa taulukossa on lueteltu ylimääräiset portit, joita defender for Identityn erillinen tunnistin edellyttää määritettynä hallintasovittimessa Defender for Identity -tunnistimen porttien lisäksi.
| Protocol (Protokolla) | Kuljetus | Portti | Lähettäjä | Vastaanottaja |
|---|---|---|---|---|
| Sisäiset portit | ||||
| LDAP | TCP ja UDP | 389 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| Suojattu LDAP (LDAPS) | TCP | 636 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| LDAP yleiseen luetteloon | TCP | 3268 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| LDAPS yleiseen luetteloon | TCP | 3269 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| Kerberos | TCP ja UDP | 88 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| Windowsin aika | UDP | 123 | Defender for Identity -tunnistin | Toimialueen ohjauskoneet |
| Syslog (valinnainen) | TCP/UDP | 514 määrityksen mukaan | SIEM-palvelin | Defender for Identity -tunnistin |
Windowsin tapahtumalokin vaatimukset
Defender for Identity detection käyttää tiettyjä Windowsin tapahtumalokeja , jotka tunnistin jäsentää toimialueen ohjauskoneista. Jotta oikeat tapahtumat voidaan valvoa ja sisällyttää Windowsin tapahtumalokiin, toimialueen ohjauskoneet edellyttävät tarkkoja Windowsin lisävalvontakäytännön asetuksia.
Lisätietoja on Windowsin ohjeiden kohdassa Kehittynyt valvontakäytännön tarkistus ja Kehittyneet suojauksen valvontakäytännöt .
Jos haluat varmistaa, että palvelu seuraa Windowsin tapahtumaa 8004 tarvittaessa, tarkista NTLM-valvonta-asetukset.
Määritä AD FS- tai AD CS -palvelimien tunnistimien osalta valvontatasoksi Yksityiskohtainen. Lisätietoja on kohdassa AD FS:n tapahtumien valvontatiedot ja AD CS:n tapahtumien valvontatiedot.