Microsoft Defender for identitet frittstående forutsetninger for sensor
Denne artikkelen viser forutsetninger for å distribuere en Microsoft Defender for identitet frittstående sensor der de skiller seg fra de viktigste forutsetningene for distribusjon.
Hvis du vil ha mer informasjon, kan du se Planlegge kapasitet for Microsoft Defender for identitet distribusjon.
Viktig
Defender for Identity frittstående sensorer støtter ikke innsamling av loggoppføringer for hendelsessporing for Windows (ETW) som gir dataene for flere gjenkjenninger. Hvis du vil ha full dekning av miljøet ditt, anbefaler vi at du distribuerer Defender for Identity-sensoren.
Ekstra systemkrav for frittstående sensorer
Frittstående sensorer skiller seg fra Defender for Identity sensor forutsetninger som følger:
Frittstående sensorer krever minst 5 GB diskplass
Frittstående sensorer kan også installeres på servere som er i en arbeidsgruppe.
Frittstående sensorer kan støtte overvåking av flere domenekontrollere, avhengig av mengden nettverkstrafikk til og fra domenekontrollerne.
Hvis du arbeider med flere skoger, må de frittstående sensormaskinene kunne kommunisere med alle eksterne skogdomenekontrollere som bruker LDAP.
Hvis du vil ha informasjon om hvordan du bruker virtuelle maskiner med den frittstående Defender for Identity-sensoren, kan du se Konfigurere portspeiling.
Nettverkskort for frittstående sensorer
Frittstående sensorer krever minst ett av følgende nettverkskort:
Administrasjonskort – brukes til kommunikasjon på firmanettverket. Sensoren bruker denne adapteren til å spørre DC-en den beskytter og utfører oppløsning på maskinkontoer.
Konfigurer administrasjonskort med statiske IP-adresser, inkludert en standard gateway, og foretrukne og alternative DNS-servere.
DNS-suffikset for denne tilkoblingen må være DNS-navnet på domenet for hvert domene som overvåkes.
Obs!
Hvis den frittstående sensoren Defender for Identity er medlem av domenet, kan dette konfigureres automatisk.
Opptaksadapter – brukes til å registrere trafikk til og fra domenekontrollerne.
Viktig
- Konfigurer portspeiling for opptaksadapteren som mål for nettverkstrafikken til domenekontrolleren. Vanligvis må du jobbe med nettverks- eller virtualiseringsteamet for å konfigurere portspeiling.
- Konfigurer en statisk IP-adresse som ikke kan rutes (med /32-maske) for miljøet uten standard sensorgateway og ingen DNS-serveradresser. Eksempel: '10.10.0.10/32. Denne konfigurasjonen sikrer at nettverkskortet for oppfanging kan fange opp maksimal trafikk, og at nettverksadapteren for administrasjon brukes til å sende og motta den nødvendige nettverkstrafikken.
Obs!
Hvis du kjører Wireshark på Defender for Identity frittstående sensor, starter du Defender for Identity-sensortjenesten på nytt etter at du har stoppet Wireshark-opptaket. Hvis du ikke starter sensortjenesten på nytt, slutter sensoren å fange opp trafikken.
Hvis du prøver å installere Defender for Identity-sensoren på en maskin som er konfigurert med en NIC Teaming-adapter, får du en installasjonsfeil. Hvis du vil installere Defender for Identity-sensoren på en maskin som er konfigurert med NIC-teaming, kan du se teamingproblemet defender for identity sensor NIC.
Porter for frittstående sensorer
Tabellen nedenfor viser de ekstra portene som den frittstående Defender for Identity-sensoren krever konfigurert på administrasjonsadapteren, i tillegg til porter som er oppført for Defender for Identity-sensoren.
| Protokoll | Transport | Port | Fra: | Til |
|---|---|---|---|---|
| Interne porter | ||||
| LDAP | TCP og UDP | 389 | Defender for identitetssensor | Domenekontrollere |
| Sikker LDAP (LDAPS) | _tcp | 636 | Defender for identitetssensor | Domenekontrollere |
| LDAP til global katalog | _tcp | 3268 | Defender for identitetssensor | Domenekontrollere |
| LDAPS til global katalog | _tcp | 3269 | Defender for identitetssensor | Domenekontrollere |
| Kerberos | TCP og UDP | 88 | Defender for identitetssensor | Domenekontrollere |
| Windows-tid | UDP | 123 | Defender for identitetssensor | Domenekontrollere |
| Syslog (valgfritt) | TCP/UDP | 514, avhengig av konfigurasjon | SIEM-server | Defender for identitetssensor |
Krav til Windows-hendelseslogg
Defender for identitetsgjenkjenning er avhengig av bestemte Windows-hendelseslogger som sensoren analyserer fra domenekontrollerne. For at de riktige hendelsene skal overvåkes og inkluderes i Windows-hendelsesloggen, krever domenekontrollerne nøyaktige innstillinger for Windows Advanced Audit Policy.
Hvis du vil ha mer informasjon, kan du se Avansert kontroll av overvåkingspolicy og Avanserte sikkerhetsrevisjonspolicyer i Windows-dokumentasjonen.
Hvis du vil forsikre deg om at Windows Event 8004 overvåkes etter behov av tjenesten, kan du se gjennom NTLM-overvåkingsinnstillingene.
For sensorer som kjører på AD FS / AD CS-servere, konfigurerer du overvåkingsnivået til detaljert. Hvis du vil ha mer informasjon, kan du se informasjon om hendelsesovervåking for AD FS og informasjon om hendelsesovervåking for AD CS.