Planlegge kapasitet for Microsoft Defender for identitet distribusjon
Denne artikkelen beskriver hvordan du bruker Microsoft Defender for identitet skaleringsverktøy for å finne ut om domenekontrollerserverne har nok ressurser til en Microsoft Defender for identitet sensor.
Selv om domenekontrollerens ytelse kanskje ikke påvirkes hvis serveren ikke har nødvendige ressurser, kan det hende at Defender for Identity-sensoren ikke fungerer som forventet. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet forutsetninger.
Skaleringsverktøyet måler kapasiteten som bare kreves for domenekontrollere. Det er ikke nødvendig å kjøre det mot AD FS / AD CS / Entra Connect-servere, da ytelsesinnvirkningen på disse serverne er svært minimal for ikke å eksistere.
Tips
Defender for Identity støtter som standard opptil 350 sensorer. Hvis du vil installere flere sensorer, kan du kontakte Defender for identitetsstøtte.
Forutsetninger
- Last ned skaleringsverktøyet defender for identitet.
- Se gjennom arkitekturartikkelen Defender for Identity .
- Se gjennom artikkelen om forutsetninger for Defender for identitet .
Hvis du vil sikre nøyaktige resultater, kjører du bare skaleringsverktøyet før du har installert noen Defender for Identity-sensorer i miljøet ditt.
Bruke skaleringsverktøyet
Kjør skaleringsverktøyet Defender for Identitet, TriSizingTool.exe, fra ZIP-filen du lastet ned.
Når verktøyet er ferdig med å kjøre, åpner du Excel-filresultatene.
Finn og velg Azure ATP-sammendragsarket i Excel-filen, og kontroller deretter kolonnen Sensor som støttes for resultater som angir om serveren støttes.
Eksempel:
Obs!
Det andre arket i filen brukes til planlegging av Advanced Threat Analytics (ATA) og er ikke nødvendig for Defender for Identity.
Skaleringsverktøyet bestemmer om serveren støttes basert på verdien opptatte pakker/sekund, som beregnes basert på de 15 travleste minuttene over en 24-timers periode.
Vanlige resultater inkluderer:
| Resultat | Beskrivelse |
|---|---|
| Ja | Sensoren støttes på serveren. |
| Ja, men flere ressurser kreves | Sensoren støttes på serveren så lenge du legger til de angitte manglende ressursene. |
| Kanskje | Gjeldende verdi for opptatte pakker/sek kan være betydelig høyere enn gjennomsnittet. Kontroller tidsstempelene for å forstå prosessene som kjører på det tidspunktet, og om du kan begrense båndbredden for disse prosessene under normale omstendigheter. |
| Kanskje, men flere ressurser kreves | Sensoren kan støttes på serveren så lenge du legger til de angitte manglende ressursene, eller så kan opptatte pakker/sekund være over 60 000. |
| Nei | Sensoren støttes ikke på serveren. Gjeldende verdi for opptatte pakker/sek kan være betydelig høyere enn gjennomsnittet. Kontroller tidsstempelene for å forstå prosessene som kjører på det tidspunktet, og om du kan begrense båndbredden for disse prosessene under normale omstendigheter. |
| Manglende OS-data | Det oppstod et problem under lesing av operativsystemdataene. Kontroller at tilkoblingen til serveren kan spørre WMI eksternt. |
| Manglende trafikkdata | Det oppstod et problem under lesing av trafikkdataene. Kontroller at tilkoblingen til serveren kan spørre ytelsestellere eksternt. |
| Manglende RAM-data | Det oppstod et problem under lesing av RAM-dataene. Kontroller at tilkoblingen til serveren kan spørre WMI eksternt. |
| Manglende kjernedata | Det oppstod et problem under lesing av kjernedataene. Kontroller at tilkoblingen til serveren kan spørre WMI eksternt. |
Bildet nedenfor viser for eksempel et sett med resultater der verdien Kanskje angir at verdien opptatte pakker/sek er betydelig høyere på det tidspunktet enn gjennomsnittet. Vær oppmerksom på at vis DC-klokkeslett som UTC/lokal er satt til lokal likestrømstid. Denne innstillingen bidrar til å fremheve det faktum at verdiene ble tatt rundt 03:30.
Defender for identitetssensor beregnet størrelse
Tabellen nedenfor viser den estimerte CPU- og RAM-kapasiteten som kreves for en Defender for Identity-sensor, basert på den typiske mengden nettverkstrafikk som genereres av en domenekontroller.
Denne tabellen er et estimat. Det endelige beløpet sensoranalysene er avhengig av trafikkmengden og fordelingen av trafikken.
| Opptatte pakker / sekund | CPU (fysiske kjerner) | RAM (GB) |
|---|---|---|
| 0-1 k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
I denne tabellen:
CPU- og RAM-kapasitet refererer til sensorens eget forbruk, ikke domenekontrollerkapasiteten.
CPU-kapasitet inkluderer ikke hypertrådede kjerner. Vi anbefaler at du ikke arbeider med hypertrådede kjerner, noe som kan føre til helseproblemer i Defender for Identity-sensoren.
Når du skal bestemme skalering, må du huske på det totale antallet kjerner og den totale mengden minne som skal brukes av sensortjenesten.
Hvis du vil ha mer informasjon, kan du se Ressursbegrensninger.
Manuell skaleringsestimering for domenekontrollere
Hvis du ikke kan bruke skaleringsverktøyet, kan du manuelt beregne om domenekontrollerserverne har nok ressurser til en Defender for Identity-sensor i stedet.
Samle inn informasjon om pakke-/sekundtelleren manuelt fra alle domenekontrollerne, over 24 timer med et lavt samlingsintervall som 5 sekunder. Beregn det daglige gjennomsnittet og det travleste gjennomsnittet (15 minutter) for hver domenekontroller.
Ulike verktøy kan hjelpe deg med å oppdage den gjennomsnittlige pakke-/andre telleren for domenekontrolleren. Denne fremgangsmåten beskriver et eksempel på hvordan du bruker Ytelsesmåler til å samle inn relevant informasjon.
Åpne Ytelsesmåler og utvid datainnsamlingssett.
Høyreklikk brukerdefinert, og velg Nytt > datainnsamlingssett.
Skriv inn et beskrivende navn for samlersettet, og velg Opprett manuelt (avansert).
Velg Opprett datalogger og Ytelsesteller under Hvilken type data vil du inkludere?.
Utvid nettverksadapteren , og velg deretter Pakker/sekund og det relevante arbeidsområdet. Hvis du ikke er sikker på hvilket arbeidsområde du vil velge, velger du <Alle arbeidsområder>. Velg Legg til>OK for å fullføre trinnet.
Alternativt, hvis du utfører dette trinnet fra kommandolinjen, kjører
ipconfig /alldu for å se adapternavnet og konfigurasjonen.Endre eksempelintervallet til fem sekunder, og definer hvor du vil at dataene skal lagres.
Velg Start dette datainnsamlingssettet nå>Fullfør under Opprett datainnsamlingssettet.
Nå skal du kunne se datainnsamlingssettet du opprettet med en grønn trekant som angir at det fungerer.
Etter 24 timer stopper du datainnsamlingssettet. Høyreklikk datainnsamlingssettet, og velg Stopp.
Bla til mappen der BLG-filen ble lagret, i Filutforsker. Dobbeltklikk den for å åpne den i Ytelsesmåler.
Velg pakker/sek-telleren, og registrer gjennomsnitts- og maksimumsverdiene .
Obs!
Defender for Identity støtter som standard opptil 350 sensorer. Hvis du vil installere flere sensorer, kontakter du Defender for identitetsstøtte.