ポート ミラーリングの構成
この記事では、Microsoft Defender for Identityのポート ミラーリング オプションについて説明します。これはスタンドアロン センサーにのみ関連します。 Defender for Identity は主に、ドメイン コントローラーとの間のネットワーク トラフィックを介したディープ パケット検査を使用します。 Defender for Identity スタンドアロン センサーでネットワーク トラフィックを確認するには、ポート ミラーリングを構成するか、ネットワーク TAP を使用する必要があります。 ポート ミラーリングは、あるポート (送信元ポート) から別のポート (宛先ポート) にトラフィックをコピーします。
ポート ミラーリングを使用する場合は、ネットワーク トラフィックのソースとして監視するドメイン コントローラーごとにポート ミラーリングを構成します。 ネットワークまたは仮想化チームと連携して、ポート ミラーリングを構成することをお勧めします。
重要
Defender for Identity スタンドアロン センサーでは、複数の検出のデータを提供するイベント トレース for Windows (ETW) ログ エントリの収集はサポートされていません。 環境を完全にカバーするために、Defender for Identity センサーをデプロイすることをお勧めします。
ポート ミラーリング方法を選択する
ドメイン コントローラーと Defender for Identity スタンドアロン センサーは、物理センサーまたは仮想センサーのいずれかです。 ポート ミラーリングの一般的な方法と、いくつかの考慮事項を次に示します。 詳細については、スイッチまたは仮想化サーバーの製品ドキュメントを参照してください。 スイッチの製造元は、さまざまな用語を使用する場合があります。
| メソッド | 説明 |
|---|---|
| スイッチド ポート アナライザー (SPAN) | 1 つ以上のスイッチ ポートから同じスイッチ上の別のスイッチ ポートにネットワーク トラフィックをコピーします。 Defender for Identity スタンドアロン センサーとドメイン コントローラーの両方が、同じ物理スイッチに接続されている必要があります。 |
| リモート スイッチ ポート アナライザー (RSPAN) | 複数の物理スイッチに分散されたソース ポートからのネットワーク トラフィックを監視できます。 RSPAN は、ソース トラフィックを特別な RSPAN 構成 VLAN にコピーします。 この VLAN は、関係する他のスイッチにトランキングする必要があります。 RSPAN はレイヤー 2 で動作します。 |
| カプセル化されたリモート スイッチ ポート アナライザー (ERSPAN) | レイヤ 3 で動作するシスコ独自のテクノロジ。 ERSPAN を使用すると、VLAN トランクを必要とせずにスイッチ間のトラフィックを監視でき、汎用ルーティング カプセル化 (GRE) を使用して監視対象のネットワーク トラフィックをコピーできます。 Defender for Identity は現在、ERSPAN トラフィックを直接受信できません。 その代わりに: 1. トラフィックをカプセル化解除できるスイッチまたはルータとしてトラフィックがカプセル化解除される ERSPAN 宛先を設定します。 1. SPAN または RSPAN を使用して、カプセル化解除されたトラフィックを Defender for Identity スタンドアロン センサーに転送するようにスイッチまたはルーターを構成します。 |
注:
ポート ミラーリングされているドメイン コントローラーが WAN リンク経由で接続されている場合は、WAN リンクが ERSPAN トラフィックの追加の負荷を処理できることを確認します。
Defender for Identity では、トラフィックが NIC とドメイン コントローラーに同じ方法で到達した場合にのみ、トラフィックの監視がサポートされます。 Defender for Identity では、トラフィックが異なるポートに分割されたときのトラフィック監視はサポートされていません。
サポートされているポート ミラーリング オプション
次の表では、Defender for Identity によるポート ミラーリング構成のサポートについて説明します。
| Defender for Identity スタンドアロン センサー | ドメイン コントローラ | 考慮事項 |
|---|---|---|
| 仮想 | 同じホスト上の仮想 | 仮想スイッチは、ポート ミラーリングをサポートする必要があります。 仮想マシンの 1 つを別のホストに単独で移動すると、ポート ミラーリングが中断される可能性があります。 |
| 仮想 | 異なるホスト上の仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。 |
| 仮想 | 形而下 | それ以外の場合は、Defender for Identity に送信されるトラフィックであっても、ホストに出入りするすべてのトラフィックが Defender for Identity に表示される専用ネットワーク アダプターが必要です。 |
| 形而下 | 仮想 | 仮想スイッチでこのシナリオと、シナリオに基づく物理スイッチのポート ミラーリング構成がサポートされていることを確認します。 仮想ホストが同じ物理スイッチ上にある場合は、スイッチ レベルのスパンを構成する必要があります。 仮想ホストが別のスイッチ上にある場合は、RSPAN または ERSPAN* を構成する必要があります。 |
| 形而下 | 同じスイッチ上の物理 | 物理スイッチは SPAN/ポート ミラーリングをサポートする必要があります。 |
| 形而下 | 別のスイッチ上の物理 | RSPAN または ERSPAN をサポートするために物理スイッチが必要 ERSPAN は、トラフィックが Defender for Identity によって分析される前にカプセル化解除が実行された場合にのみサポートされます。 |
注:
ドメイン コントローラーと接続された Defender for Identity センサーの時間は、互いに 5 分以内に同期する必要があります。
関連コンテンツ
詳細については、以下を参照してください: