Configurer la mise en miroir de ports
Cet article décrit les options de mise en miroir de ports pour Microsoft Defender pour Identity et concerne uniquement les capteurs autonomes. Defender pour Identity utilise principalement l’inspection approfondie des paquets sur le trafic réseau à destination et en provenance de vos contrôleurs de domaine. Pour que les capteurs autonomes Defender pour Identity voient le trafic réseau, vous devez configurer la mise en miroir de ports ou utiliser un tap réseau. La mise en miroir de ports copie le trafic d’un port (port source) vers un autre port (port de destination).
Lorsque vous utilisez la mise en miroir de ports, configurez la mise en miroir de ports pour chaque contrôleur de domaine que vous surveillez en tant que source de votre trafic réseau. Nous vous recommandons de travailler avec votre équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports.
Importante
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Choisir une méthode de mise en miroir de ports
Vos contrôleurs de domaine et le capteur autonome Defender pour Identity peuvent être physiques ou virtuels. Voici des méthodes courantes pour la mise en miroir de ports et quelques considérations. Pour plus d’informations, consultez la documentation du produit de votre commutateur ou serveur de virtualisation. Le fabricant de votre commutateur peut utiliser une terminologie différente.
| Méthode | Description |
|---|---|
| Analyseur de port commuté (SPAN) | Copie le trafic réseau d’un ou plusieurs ports de commutateur vers un autre port de commutateur sur le même commutateur. Le capteur autonome Defender pour Identity et les contrôleurs de domaine doivent être connectés au même commutateur physique. |
| Analyseur de port de commutateur distant (RSPAN) | Vous permet de surveiller le trafic réseau à partir des ports sources distribués sur plusieurs commutateurs physiques. RSPAN copie le trafic source dans un réseau local virtuel configuré par RSPAN spécial. Ce réseau local virtuel doit être connecté aux autres commutateurs impliqués. RSPAN fonctionne au niveau de la couche 2. |
| Analyseur de port de commutateur distant encapsulé (ERSPAN) | Une technologie propriétaire Cisco fonctionnant au niveau de la couche 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans avoir besoin de jonctions VLAN et utilise l’encapsulation de routage générique (GRE) pour copier le trafic réseau surveillé. Actuellement, Defender pour Identity ne peut pas recevoir directement le trafic ERSPAN. Au lieu de: 1. Configurez la destination ERSPAN où le trafic est décapsulé en tant que commutateur ou routeur pouvant décapsuler le trafic. 1. Configurez le commutateur ou le routeur pour transférer le trafic décapsulé vers le capteur autonome Defender pour Identity à l’aide de SPAN ou de RSPAN. |
Remarque
Si le contrôleur de domaine mis en miroir par port est connecté via une liaison WAN, assurez-vous que la liaison WAN peut gérer la charge supplémentaire du trafic ERSPAN.
Defender pour Identity prend en charge la surveillance du trafic uniquement lorsque le trafic atteint la carte réseau et le contrôleur de domaine de la même manière. Defender pour Identity ne prend pas en charge la surveillance du trafic lorsque le trafic est réparti sur différents ports.
Options de mise en miroir de ports prises en charge
Le tableau suivant décrit la prise en charge de Defender pour Identity pour les configurations de mise en miroir de ports :
| Capteur autonome Defender pour Identity | Contrôleur de domaine | Considérations |
|---|---|---|
| Virtuel | Virtual sur le même hôte | Le commutateur virtuel doit prendre en charge la mise en miroir de ports. Le déplacement d’une des machines virtuelles vers un autre hôte peut interrompre la mise en miroir des ports. |
| Virtuel | Virtuel sur différents hôtes | Assurez-vous que votre commutateur virtuel prend en charge ce scénario. |
| Virtuel | Physique | Nécessite une carte réseau dédiée, sinon Defender pour Identity voit tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie au service cloud Defender pour Identity. |
| Physique | Virtuel | Assurez-vous que votre commutateur virtuel prend en charge ce scénario et la configuration de la mise en miroir de ports sur vos commutateurs physiques en fonction du scénario : Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer une étendue de niveau de commutateur. Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN*. |
| Physique | Physique sur le même commutateur | Le commutateur physique doit prendre en charge span/mise en miroir de ports. |
| Physique | Physique sur un autre commutateur | Nécessite des commutateurs physiques pour prendre en charge RSPAN ou ERSPAN ERSPAN est pris en charge uniquement lorsque la décapitation est effectuée avant l’analyse du trafic par Defender pour Identity. |
Remarque
L’heure de vos contrôleurs de domaine et du capteur Defender pour Identity connecté doit être synchronisée avec dans les 5 minutes qui suivent.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :