Microsoft Defender per identità prerequisiti del sensore autonomo
Questo articolo elenca i prerequisiti per la distribuzione di un sensore autonomo Microsoft Defender per identità in cui differiscono dai prerequisiti di distribuzione principali.
Per altre informazioni, vedere Pianificare la capacità per la distribuzione Microsoft Defender per identità.
Importante
I sensori autonomi di Defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Requisiti di sistema aggiuntivi per i sensori autonomi
I sensori autonomi differiscono dai prerequisiti dei sensori defender per identità come indicato di seguito:
I sensori autonomi richiedono almeno 5 GB di spazio su disco
I sensori autonomi possono essere installati anche nei server che si trovano in un gruppo di lavoro.
I sensori autonomi possono supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete da e verso i controller di dominio.
Se si usano più foreste, ai computer con sensori autonomi deve essere consentito comunicare con tutti i controller di dominio della foresta remota usando LDAP.
Per informazioni sull'uso di macchine virtuali con il sensore autonomo Defender per identità, vedere Configurare il mirroring delle porte.
Schede di rete per sensori autonomi
I sensori autonomi richiedono almeno una delle schede di rete seguenti:
Schede di gestione : usate per le comunicazioni nella rete aziendale. Il sensore usa questa scheda per eseguire query sul controller di dominio che sta proteggendo ed eseguendo la risoluzione negli account del computer.
Configurare le schede di gestione con indirizzi IP statici, incluso un gateway predefinito, e server DNS preferiti e alternativi.
Il suffisso DNS per questa connessione deve essere il nome DNS del dominio per ogni dominio monitorato.
Nota
Se il sensore autonomo defender per identità è un membro del dominio, è possibile configurarlo automaticamente.
Scheda di acquisizione : usata per acquisire il traffico da e verso i controller di dominio.
Importante
- Configurare il mirroring delle porte per la scheda di acquisizione come destinazione del traffico di rete del controller di dominio. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
- Configurare un indirizzo IP statico non instradabile (con /32 mask) per l'ambiente senza gateway sensore predefinito e senza indirizzi server DNS. Ad esempio: '10.10.0.10/32. Questa configurazione garantisce che la scheda di rete di acquisizione possa acquisire la quantità massima di traffico e che la scheda di rete di gestione venga usata per inviare e ricevere il traffico di rete richiesto.
Nota
Se si esegue Wireshark nel sensore autonomo defender per identità, riavviare il servizio sensore Defender per identità dopo aver arrestato l'acquisizione di Wireshark. Se non si riavvia il servizio sensore, il sensore arresta l'acquisizione del traffico.
Se si tenta di installare il sensore Defender per identità in un computer configurato con una scheda NIC Teaming, viene visualizzato un errore di installazione. Se si vuole installare il sensore Defender per identità in un computer configurato con il teaming della scheda di interfaccia di rete, vedere Problema di teaming della scheda di interfaccia di rete del sensore defender per identità.
Porte per sensori autonomi
Nella tabella seguente sono elencate le porte aggiuntive richieste dal sensore autonomo defender per identità configurato nella scheda di gestione, oltre alle porte elencate per il sensore Defender per identità.
| Protocollo | Trasporto | Porta | Da | A |
|---|---|---|---|---|
| Porte interne | ||||
| LDAP | TCP e UDP | 389 | Sensore Defender per identità | Controller di dominio |
| LDAP sicuro (LDAPS) | TCP | 636 | Sensore Defender per identità | Controller di dominio |
| DA LDAP a Catalogo globale | TCP | 3268 | Sensore Defender per identità | Controller di dominio |
| LDAPS al catalogo globale | TCP | 3269 | Sensore Defender per identità | Controller di dominio |
| Kerberos | TCP e UDP | 88 | Sensore Defender per identità | Controller di dominio |
| Ora di Windows | UDP | 123 | Sensore Defender per identità | Controller di dominio |
| Syslog (facoltativo) | TCP/UDP | 514, a seconda della configurazione | SIEM Server | Sensore Defender per identità |
Requisiti del registro eventi di Windows
Il rilevamento di Defender per identità si basa su log eventi di Windows specifici che il sensore analizza dai controller di dominio. Affinché gli eventi corretti vengano controllati e inclusi nel registro eventi di Windows, i controller di dominio richiedono impostazioni accurate dei criteri di controllo avanzati di Windows.
Per altre informazioni, vedere Controllo avanzato dei criteri di controllo e Criteri di controllo di sicurezza avanzati nella documentazione di Windows.
Per assicurarsi che l'evento 8004 di Windows venga controllato in base alle esigenze dal servizio, esaminare le impostazioni di controllo NTLM.
Per i sensori in esecuzione nei server AD FS/AD CS, configurare il livello di controllo su Verbose. Per altre informazioni, vedere Informazioni sul controllo degli eventi per AD FS e Informazioni sul controllo degli eventi per AD CS.