Configurare il mirroring delle porte
Questo articolo descrive le opzioni di mirroring delle porte per Microsoft Defender per identità ed è rilevante solo per i sensori autonomi. Defender per identità usa principalmente l'ispezione approfondita dei pacchetti sul traffico di rete da e verso i controller di dominio. Per consentire ai sensori autonomi di Defender per identità di visualizzare il traffico di rete, è necessario configurare il mirroring delle porte o usare un TAP di rete. Il mirroring delle porte copia il traffico da una porta (la porta di origine) a un'altra porta (la porta di destinazione).
Quando si usa il mirroring delle porte, configurare il mirroring delle porte per ogni controller di dominio che si sta monitorando come origine del traffico di rete. È consigliabile collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
Importante
I sensori autonomi di Defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Scegliere un metodo di mirroring delle porte
I controller di dominio e il sensore autonomo defender per identità possono essere fisici o virtuali. Di seguito sono riportati i metodi comuni per il mirroring delle porte e alcune considerazioni. Per altre informazioni, vedere la documentazione del prodotto switch o server di virtualizzazione. Il produttore del commutatore potrebbe usare una terminologia diversa.
| Metodo | Descrizione |
|---|---|
| Analizzatore porte commutate (SPAN) | Copia il traffico di rete da una o più porte switch a un'altra porta del commutatore nello stesso commutatore. Sia il sensore autonomo di Defender per identità che i controller di dominio devono essere connessi allo stesso commutatore fisico. |
| Analizzatore porta commutatore remoto (RSPAN) | Consente di monitorare il traffico di rete dalle porte di origine distribuite su più commutatori fisici. RSPAN copia il traffico di origine in una VLAN speciale configurata per RSPAN. È necessario eseguire il trunking di questa VLAN agli altri commutatori coinvolti. RSPAN funziona al livello 2. |
| Analizzatore porta commutatore remoto incapsulato (ERSPAN) | Una tecnologia proprietaria Cisco che funziona al livello 3. ERSPAN consente di monitorare il traffico tra commutatori senza la necessità di trunk VLAN e usa l'incapsulamento di routing generico (GRE) per copiare il traffico di rete monitorato. Defender per identità attualmente non può ricevere direttamente il traffico ERSPAN. Invece: 1. Configurare la destinazione ERSPAN in cui il traffico viene decapsulato come commutatore o router in grado di decapulare il traffico. 1. Configurare il commutatore o il router per inoltrare il traffico decapsulato al sensore autonomo Defender for Identity usando SPAN o RSPAN. |
Nota
Se il controller di dominio con mirroring della porta è connesso tramite un collegamento WAN, assicurarsi che il collegamento WAN possa gestire il carico aggiuntivo del traffico ERSPAN.
Defender per identità supporta il monitoraggio del traffico solo quando il traffico raggiunge la scheda di interfaccia di rete e il controller di dominio nello stesso modo. Defender per identità non supporta il monitoraggio del traffico quando il traffico viene suddiviso in porte diverse.
Opzioni di mirroring delle porte supportate
Nella tabella seguente viene descritto il supporto di Defender per identità per le configurazioni del mirroring delle porte:
| Sensore autonomo defender per identità | Controller di dominio | Considerazioni |
|---|---|---|
| Virtuale | Virtuale nello stesso host | Il commutatore virtuale deve supportare il mirroring delle porte. Lo spostamento di una delle macchine virtuali in un altro host può interrompere il mirroring delle porte. |
| Virtuale | Virtuale in host diversi | Assicurarsi che il commutatore virtuale supporti questo scenario. |
| Virtuale | Fisico | Richiede una scheda di rete dedicata altrimenti Defender per identità visualizza tutto il traffico in ingresso e in uscita dall'host, anche il traffico inviato al servizio cloud Defender for Identity. |
| Fisico | Virtuale | Assicurarsi che il commutatore virtuale supporti questo scenario e la configurazione del mirroring delle porte nei commutatori fisici in base allo scenario: Se l'host virtuale si trova nello stesso commutatore fisico, è necessario configurare un intervallo di livello del commutatore. Se l'host virtuale si trova su un commutatore diverso, è necessario configurare RSPAN o ERSPAN*. |
| Fisico | Fisico sullo stesso commutatore | L'opzione fisica deve supportare span/port mirroring. |
| Fisico | Fisico su un commutatore diverso | Richiede commutatori fisici per supportare RSPAN o ERSPAN ERSPAN è supportato solo quando viene eseguita la decapsulamento prima che il traffico venga analizzato da Defender per identità. |
Nota
L'ora dei controller di dominio e del sensore defender per identità connesso deve essere sincronizzata entro 5 minuti l'una dall'altra.
Contenuto correlato
Per altre informazioni, vedere: