Microsoft Defender pour Identity composants requis pour les capteurs autonomes
Cet article répertorie les prérequis pour le déploiement d’un capteur autonome Microsoft Defender pour Identity où ils diffèrent des prérequis de déploiement main.
Pour plus d’informations, consultez Planifier la capacité pour le déploiement Microsoft Defender pour Identity.
Importante
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal de suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Configuration système supplémentaire requise pour les capteurs autonomes
Les capteurs autonomes diffèrent des prérequis du capteur Defender pour Identity comme suit :
Les capteurs autonomes nécessitent un minimum de 5 Go d’espace disque
Les capteurs autonomes peuvent également être installés sur des serveurs qui se trouvent dans un groupe de travail.
Les capteurs autonomes peuvent prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau vers et depuis les contrôleurs de domaine.
Si vous travaillez avec plusieurs forêts, vos machines de capteur autonomes doivent être autorisées à communiquer avec tous les contrôleurs de domaine de forêt distants à l’aide de LDAP.
Pour plus d’informations sur l’utilisation de machines virtuelles avec le capteur autonome Defender pour Identity, consultez Configurer la mise en miroir de ports.
Cartes réseau pour les capteurs autonomes
Les capteurs autonomes nécessitent au moins une des cartes réseau suivantes :
Cartes de gestion : utilisées pour les communications sur votre réseau d’entreprise. Le capteur utilise cet adaptateur pour interroger le contrôleur de domaine qu’il protège et effectuer la résolution des comptes d’ordinateur.
Configurez des adaptateurs de gestion avec des adresses IP statiques, y compris une passerelle par défaut, et des serveurs DNS préférés et alternatifs.
Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.
Remarque
Si le capteur autonome Defender pour Identity est membre du domaine, il peut être configuré automatiquement.
Adaptateur de capture : utilisé pour capturer le trafic à destination et en provenance des contrôleurs de domaine.
Importante
- Configurez la mise en miroir de ports pour la carte de capture comme destination du trafic réseau du contrôleur de domaine. En règle générale, vous devez travailler avec l’équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports.
- Configurez une adresse IP statique non routable (avec masque /32) pour votre environnement sans passerelle de capteur par défaut et sans adresse de serveur DNS. Par exemple : '10.10.0.10/32. Cette configuration garantit que la carte réseau de capture peut capturer la quantité maximale de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau requis.
Remarque
Si vous exécutez Wireshark sur le capteur autonome Defender pour Identity, redémarrez le service de capteur Defender pour Identity après avoir arrêté la capture Wireshark. Si vous ne redémarrez pas le service de capteur, le capteur arrête de capturer le trafic.
Si vous tentez d’installer le capteur Defender pour Identity sur un ordinateur configuré avec un adaptateur d’association de cartes réseau, vous recevez une erreur d’installation. Si vous souhaitez installer le capteur Defender pour Identity sur un ordinateur configuré avec l’association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.
Ports pour les capteurs autonomes
Le tableau suivant répertorie les ports supplémentaires que le capteur autonome Defender pour Identity nécessite configurés sur l’adaptateur de gestion, en plus des ports répertoriés pour le capteur Defender pour Identity.
| Protocole | Transport | Port | De | À |
|---|---|---|---|---|
| Ports internes | ||||
| LDAP | TCP et UDP | 389 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAP sécurisé (LDAPS) | TCP | 636 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAP vers catalogue global | TCP | 3268 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAPS vers le catalogue global | TCP | 3269 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Kerberos | TCP et UDP | 88 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Horloge Windows | UDP | 123 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Syslog (facultatif) | TCP/UDP | 514, selon la configuration | Serveur SIEM | Capteur Defender pour Identity |
Configuration requise du journal des événements Windows
La détection de Defender pour Identity s’appuie sur des journaux d’événements Windows spécifiques que le capteur analyse à partir de vos contrôleurs de domaine. Pour que les événements corrects soient audités et inclus dans le journal des événements Windows, vos contrôleurs de domaine nécessitent des paramètres de stratégie d’audit avancé Windows précis.
Pour plus d’informations, consultez Stratégie d’audit avancée case activée et Stratégies d’audit de sécurité avancées dans la documentation Windows.
Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, passez en revue vos paramètres d’audit NTLM.
Pour les capteurs s’exécutant sur des serveurs AD FS/AD CS, configurez le niveau d’audit sur Détaillé. Pour plus d’informations, consultez Informations sur l’audit d’événements pour AD FS et Informations sur l’audit des événements pour AD CS.