Microsoft Defender for Identityデプロイの容量を計画する
この記事では、Microsoft Defender for Identityサイズ設定ツールを使用して、ドメイン コントローラー サーバーにMicrosoft Defender for Identity センサーに十分なリソースがあるかどうかを判断する方法について説明します。
サーバーに必要なリソースがない場合、ドメイン コントローラーのパフォーマンスは影響を受けない可能性があります。Defender for Identity センサーは期待どおりに動作しない可能性があります。 詳細については、「Microsoft Defender for Identity前提条件」を参照してください。
サイズ設定ツールは、ドメイン コントローラーにのみ必要な容量を測定します。 AD FS/AD CS/Entra Connect サーバーに対して実行する必要はありません。これらのサーバーに対するパフォーマンスへの影響は非常に最小限であるため、存在しません。
ヒント
既定では、Defender for Identity では最大 350 個のセンサーがサポートされています。 その他のセンサーをインストールするには、Defender for Identity サポートにお問い合わせください。
前提条件
- Defender for Identity のサイズ設定ツールをダウンロードします。
- Defender for Identity アーキテクチャに関する記事を確認します。
- Defender for Identity の前提条件に関する記事を確認してください。
正確な結果を得るには、環境に Defender for Identity センサーをインストールする 前に サイズ設定ツールのみを実行します。
サイズ設定ツールを使用する
ダウンロードした zip ファイルから Defender for Identity サイズ設定ツール をTriSizingTool.exeして実行します。
ツールの実行が完了したら、Excel ファイルの結果を開きます。
Excel ファイルで、Azure ATP の概要シートを見つけて選択し、サーバーがサポートされているかどうかを示す結果の [センサーサポート] 列をチェックします。
以下に例を示します。
注:
ファイル内のもう 1 つのシートは Advanced Threat Analytics (ATA) の計画に使用され、Defender for Identity には必要ありません。
サイズ設定ツールは、 ビジー パケット/秒 の値に基づいてサーバーがサポートされているかどうかを決定します。これは、24 時間にわたって最も忙しい 15 分に基づいて計算されます。
一般的な結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| はい | センサーはサーバーでサポートされています。 |
| はい。ただし、追加のリソースが必要です | 指定した不足しているリソースを追加する限り、センサーはサーバーでサポートされます。 |
| 恐らく | 現在の ビジー パケット数/秒 の値は、その時点で平均よりも大幅に高くなる可能性があります。 タイムスタンプを確認して、その時点で実行されているプロセスと、通常の状況でそれらのプロセスの帯域幅を制限できるかどうかを確認します。 |
| 多分、しかし、追加のリソースが必要 | 指定した不足しているリソースを追加する限り、サーバーでセンサーがサポートされる場合があります。または、 ビジー パケット/秒 が 60,000 を超える可能性があります。 |
| いいえ | センサーはサーバーではサポートされていません。 現在の ビジー パケット数/秒 の値は、その時点で平均よりも大幅に高くなる可能性があります。 タイムスタンプを確認して、その時点で実行されているプロセスと、通常の状況でそれらのプロセスの帯域幅を制限できるかどうかを確認します。 |
| OS データが見つからない | オペレーティング システム データの読み取りに問題が発生しました。 サーバーへの接続で WMI に対してリモートでクエリを実行できることを確認します。 |
| トラフィック データが見つからない | トラフィック データの読み取りに問題が発生しました。 サーバーへの接続がリモートでパフォーマンス カウンターに対してクエリを実行できることを確認します。 |
| RAM データがありません | RAM データの読み取りに問題が発生しました。 サーバーへの接続で WMI に対してリモートでクエリを実行できることを確認します。 |
| コア データが見つからない | コア データの読み取りに問題が発生しました。 サーバーへの接続で WMI に対してリモートでクエリを実行できることを確認します。 |
たとえば、次の図は一連の結果を示しています。 [可能性あり ] は、その時点で ビジー パケット/秒 の値が平均よりも大幅に高いことを示しています。 [DC 時間を UTC/ローカルとして表示] が [ローカル DC 時刻] に設定されていることに注意してください。 この設定は、値が午前 3 時 30 分頃に取得されたという事実を強調するのに役立ちます。
Defender for Identity センサーの推定サイズ設定
次の表は、ドメイン コントローラーによって生成されるネットワーク トラフィックの一般的な量に基づいて、Defender for Identity センサーに必要な CPU と RAM の推定容量を示しています。
この表は見積もりです。 センサーが解析する最終的な量は、トラフィックの量とトラフィックの分散によって異なります。
| ビジー パケット/秒 | CPU (物理コア) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
この表では、次の操作を行います。
CPU と RAM の容量は、ドメイン コントローラーの容量ではなく、 センサー自身の消費を指します。
CPU 容量にはハイパースレッド コアは含まれません。 ハイパースレッド コアを使用しないことをお勧めします。これにより、Defender for Identity センサーの正常性の問題が発生する可能性があります。
サイズ設定を決定するときは、センサー サービスによって使用されるコアの合計数とメモリの合計量に注意してください。
詳細については、「 リソースの制限事項」を参照してください。
ドメイン コントローラーの手動サイズ設定の見積もり
サイズ設定ツールを使用できない場合は、代わりに、ドメイン コントローラー サーバーに Defender for Identity センサー用の十分なリソースがあるかどうかを手動で見積もることができます。
5 秒などの収集間隔が低い 24 時間にわたって、すべてのドメイン コントローラーからパケット/秒カウンター情報を手動で収集します。 ドメイン コントローラーごとに、1 日の平均と最も多い期間 (15 分) の平均を計算します。
さまざまなツールは、ドメイン コントローラーの平均パケット/秒カウンターを検出するのに役立ちます。 この手順では、パフォーマンス モニターを使用して関連情報を収集する方法の例について説明します。
パフォーマンス モニターを開き、[データ コレクター セット] を展開します。
[ ユーザー定義 ] を右クリックし、[ 新しい > データ コレクター セット] を選択します。
コレクター セットのわかりやすい名前を入力し、[ 手動で作成 (詳細設定)] を選択します。
[ 含めるデータの種類] で、[ データ ログの作成] と [パフォーマンス カウンター] を選択します。
[ ネットワーク アダプター ] を展開し、[ Packets/sec]\(パケット/秒\) と関連するワークスペースを選択します。 選択するワークスペースがわからない場合は、[すべてのワークスペース><を選択します。 [追加>OK] を選択して、手順を完了します。
または、コマンド ラインからこの手順を実行する場合は、
ipconfig /allを実行してアダプターの名前と構成を確認します。[サンプル間隔] を 5 秒に変更し、データを保存する場所を定義します。
[ データ コレクター セットの作成] で、[ このデータ コレクター セットを今すぐ開始する>Finish] を選択します。
これで、作成したデータ コレクター セットに、動作していることを示す緑色の三角形が表示されます。
24 時間後に、データ コレクター セットを停止します。 データ コレクター セットを右クリックし、[停止] を選択 します。
エクスプローラーで、.blg ファイルが保存されたフォルダーを参照します。 ダブルクリックしてパフォーマンス モニターで開きます。
[Packets/sec]\(パケット/秒\) カウンターを選択し、平均値と最大値を記録します。
注:
既定では、Defender for Identity では最大 350 個のセンサーがサポートされています。 センサーをさらにインストールする場合は、Defender for Identity サポートにお問い合わせください。