Konfigurer portspeiling
Denne artikkelen beskriver alternativer for portspeiling for Microsoft Defender for identitet, og er bare relevant for frittstående sensorer. Defender for Identity bruker hovedsakelig dyp pakkeinspeksjon over nettverkstrafikk til og fra domenekontrollerne. For at Defender for Identity frittstående sensorer skal kunne se nettverkstrafikk, må du enten konfigurere portspeiling eller bruke nettverks-TAP. Portspeiling kopierer trafikken fra én port (kildeporten) til en annen port (målporten).
Når du bruker portspeiling, konfigurerer du portspeiling for hver domenekontroller som du overvåker som kilden til nettverkstrafikken. Vi anbefaler at du samarbeider med nettverks- eller virtualiseringsteamet for å konfigurere portspeiling.
Viktig
Defender for Identity frittstående sensorer støtter ikke innsamling av loggoppføringer for hendelsessporing for Windows (ETW) som gir dataene for flere gjenkjenninger. Hvis du vil ha full dekning av miljøet ditt, anbefaler vi at du distribuerer Defender for Identity-sensoren.
Velg en portspeilingsmetode
Domenekontrollerne og den frittstående Defender for Identity-sensoren kan være fysiske eller virtuelle. Følgende er vanlige metoder for portspeiling og noen hensyn. Hvis du vil ha mer informasjon, kan du se produktdokumentasjonen for- eller virtualiseringsserveren. Bytt produsent kan bruke annen terminologi.
| Metode | Beskrivelse |
|---|---|
| Byttet portanalyse (SPAN) | Kopierer nettverkstrafikk fra én eller flere byttingsporter til en annen byttingsport på samme bryter. Både den frittstående Defender for Identity-sensoren og domenekontrollere må være koblet til samme fysiske bryter. |
| Remote Switch Port Analyzer (RSPAN) | Lar deg overvåke nettverkstrafikk fra kildeporter fordelt over flere fysiske brytere. RSPAN kopierer kildetrafikken til en spesiell RSPAN-konfigurert VLAN. Denne VLAN må være trunked til de andre bryterne involvert. RSPAN fungerer på Lag 2. |
| Innkapslet remote switch port analyzer (ERSPAN) | En Cisco proprietær teknologi som arbeider på Lag 3. MED ERSPAN kan du overvåke trafikken på tvers av brytere uten behov for VLAN-trunker og bruker generisk ruting-innkapsling (GRE) til å kopiere overvåket nettverkstrafikk. Defender for Identity kan for øyeblikket ikke motta FEILSPAN-trafikk direkte. Isteden: 1. Konfigurer ERSPAN-målet der trafikken er innkapslet som en bryter eller ruter som kan innkapsle trafikken. 1. Konfigurer bryteren eller ruteren for å videresende den innkapslede trafikken til den frittstående Defender for Identity-sensoren ved hjelp av enten SPAN eller RSPAN. |
Obs!
Hvis domenekontrolleren som blir portspeilet, er koblet til via en WAN-kobling, må du kontrollere at WAN-koblingen kan håndtere den ekstra belastningen av ERSPAN-trafikken.
Defender for Identity støtter bare trafikkovervåking når trafikken når NIC og domenekontrolleren på samme måte. Defender for Identity støtter ikke trafikkovervåking når trafikken brytes ut til forskjellige porter.
Alternativer for portspeiling som støttes
Tabellen nedenfor beskriver Defender for Identitys støtte for portspeilingskonfigurasjoner:
| Frittstående defender for identitetssensor | Domenekontroller | Hensyn |
|---|---|---|
| Virtuell | Virtuell på samme vert | Den virtuelle bryteren må støtte portspeiling. Hvis du flytter en av de virtuelle maskinene til en annen vert alene, kan portspeilingen brytes. |
| Virtuell | Virtuelt på ulike verter | Kontroller at den virtuelle bryteren støtter dette scenarioet. |
| Virtuell | Fysisk | Krever en dedikert nettverksadapter, ellers ser Defender for Identity all trafikken som kommer inn og ut av verten, selv trafikken den sender til Defender for Identity-skytjenesten. |
| Fysisk | Virtuell | Kontroller at den virtuelle bryteren støtter dette scenarioet – og konfigurasjon av portspeiling på de fysiske bryterne basert på scenarioet: Hvis den virtuelle verten har samme fysiske bryter, må du konfigurere et vekslenivåintervall. Hvis den virtuelle verten har en annen bryter, må du konfigurere RSPAN eller ERSPAN*. |
| Fysisk | Fysisk på samme bryter | Fysisk bryter må støtte SPAN/Port Mirroring. |
| Fysisk | Fysisk på en annen bryter | Krever fysiske brytere for å støtte RSPAN eller ERSPAN ERSPAN støttes bare når decapsulation utføres før trafikken analyseres av Defender for Identity. |
Obs!
Tiden på domenekontrollerne og den tilkoblede Defender for Identity-sensoren må synkroniseres til innen 5 minutter fra hverandre.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: