Partager via


Microsoft Defender pour Identity composants requis pour les capteurs autonomes

Cet article répertorie les prérequis pour le déploiement d’un capteur autonome Microsoft Defender pour Identity où ils diffèrent des prérequis de déploiement main.

Pour plus d’informations, consultez Planifier la capacité pour le déploiement Microsoft Defender pour Identity.

Importante

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

Configuration système supplémentaire requise pour les capteurs autonomes

Les capteurs autonomes diffèrent des prérequis du capteur Defender pour Identity comme suit :

  • Les capteurs autonomes nécessitent un minimum de 5 Go d’espace disque

  • Les capteurs autonomes peuvent également être installés sur des serveurs qui se trouvent dans un groupe de travail.

  • Les capteurs autonomes peuvent prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau vers et depuis les contrôleurs de domaine.

  • Si vous travaillez avec plusieurs forêts, vos machines de capteur autonomes doivent être autorisées à communiquer avec tous les contrôleurs de domaine de forêt distants à l’aide de LDAP.

Pour plus d’informations sur l’utilisation de machines virtuelles avec le capteur autonome Defender pour Identity, consultez Configurer la mise en miroir de ports.

Cartes réseau pour les capteurs autonomes

Les capteurs autonomes nécessitent au moins une des cartes réseau suivantes :

  • Cartes de gestion : utilisées pour les communications sur votre réseau d’entreprise. Le capteur utilise cet adaptateur pour interroger le contrôleur de domaine qu’il protège et effectuer la résolution des comptes d’ordinateur.

    Configurez des adaptateurs de gestion avec des adresses IP statiques, y compris une passerelle par défaut, et des serveurs DNS préférés et alternatifs.

    Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.

    Remarque

    Si le capteur autonome Defender pour Identity est membre du domaine, il peut être configuré automatiquement.

  • Adaptateur de capture : utilisé pour capturer le trafic à destination et en provenance des contrôleurs de domaine.

    Importante

    • Configurez la mise en miroir de ports pour la carte de capture comme destination du trafic réseau du contrôleur de domaine. En règle générale, vous devez travailler avec l’équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports.
    • Configurez une adresse IP statique non routable (avec masque /32) pour votre environnement sans passerelle de capteur par défaut et sans adresse de serveur DNS. Par exemple : '10.10.0.10/32. Cette configuration garantit que la carte réseau de capture peut capturer la quantité maximale de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau requis.

Remarque

Si vous exécutez Wireshark sur le capteur autonome Defender pour Identity, redémarrez le service de capteur Defender pour Identity après avoir arrêté la capture Wireshark. Si vous ne redémarrez pas le service de capteur, le capteur arrête de capturer le trafic.

Si vous tentez d’installer le capteur Defender pour Identity sur un ordinateur configuré avec un adaptateur d’association de cartes réseau, vous recevez une erreur d’installation. Si vous souhaitez installer le capteur Defender pour Identity sur un ordinateur configuré avec l’association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.

Ports pour les capteurs autonomes

Le tableau suivant répertorie les ports supplémentaires que le capteur autonome Defender pour Identity nécessite configurés sur l’adaptateur de gestion, en plus des ports répertoriés pour le capteur Defender pour Identity.

Protocole Transport Port De À
Ports internes
LDAP TCP et UDP 389 Capteur Defender pour Identity Contrôleurs de domaine
LDAP sécurisé (LDAPS) TCP 636 Capteur Defender pour Identity Contrôleurs de domaine
LDAP vers catalogue global TCP 3268 Capteur Defender pour Identity Contrôleurs de domaine
LDAPS vers le catalogue global TCP 3269 Capteur Defender pour Identity Contrôleurs de domaine
Kerberos TCP et UDP 88 Capteur Defender pour Identity Contrôleurs de domaine
Horloge Windows UDP 123 Capteur Defender pour Identity Contrôleurs de domaine
Syslog (facultatif) TCP/UDP 514, selon la configuration Serveur SIEM Capteur Defender pour Identity

Configuration requise du journal des événements Windows

La détection de Defender pour Identity s’appuie sur des journaux d’événements Windows spécifiques que le capteur analyse à partir de vos contrôleurs de domaine. Pour que les événements corrects soient audités et inclus dans le journal des événements Windows, vos contrôleurs de domaine nécessitent des paramètres de stratégie d’audit avancé Windows précis.

Pour plus d’informations, consultez Stratégie d’audit avancée case activée et Stratégies d’audit de sécurité avancées dans la documentation Windows.

Étapes suivantes