Poortspiegeling configureren
In dit artikel worden de opties voor poortspiegeling voor Microsoft Defender for Identity beschreven en is alleen relevant voor zelfstandige sensoren. Defender for Identity maakt voornamelijk gebruik van diepgaande pakketinspectie via netwerkverkeer van en naar uw domeincontrollers. Voor zelfstandige sensoren van Defender for Identity kunt u netwerkverkeer zien als u poortspiegeling configureert of een netwerk TAP gebruikt. Poortspiegeling kopieert het verkeer van de ene poort (de bronpoort) naar een andere poort (de doelpoort).
Wanneer u poortspiegeling gebruikt, configureert u poortspiegeling voor elke domeincontroller die u bewaakt als de bron van uw netwerkverkeer. We raden u aan samen te werken met uw netwerk- of virtualisatieteam om poortspiegeling te configureren.
Belangrijk
Zelfstandige Defender for Identity-sensoren bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens voor meerdere detecties bieden. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
Een poortspiegelingsmethode kiezen
Uw domeincontrollers en de zelfstandige sensor van Defender for Identity kunnen fysiek of virtueel zijn. Hier volgen veelvoorkomende methoden voor poortspiegeling en enkele overwegingen. Raadpleeg de productdocumentatie voor uw switch- of virtualisatieserver voor meer informatie. De fabrikant van de switch kan andere terminologie gebruiken.
| Methode | Beschrijving |
|---|---|
| Switched Port Analyzer (SPAN) | Kopieert netwerkverkeer van een of meer switchpoorten naar een andere switchpoort op dezelfde switch. Zowel de zelfstandige sensor van Defender for Identity als de domeincontrollers moeten zijn verbonden met dezelfde fysieke switch. |
| Remote Switch Port Analyzer (RSPAN) | Hiermee kunt u netwerkverkeer bewaken vanaf bronpoorten die zijn verdeeld over meerdere fysieke switches. RSPAN kopieert het bronverkeer naar een speciaal met RSPAN geconfigureerd VLAN. Dit VLAN moet worden gekoppeld aan de andere betrokken switches. RSPAN werkt op laag 2. |
| Encapsulated Remote Switch Port Analyzer (ERSPAN) | Een eigen cisco-technologie die werkt op Laag 3. MET ERSPAN kunt u verkeer tussen switches bewaken zonder VLAN-trunks en maakt gebruik van algemene routeringsinkapseling (GRE) om bewaakt netwerkverkeer te kopiƫren. Defender for Identity kan momenteel geen ERSPAN-verkeer rechtstreeks ontvangen. In plaats van: 1. Configureer de ERSPAN-bestemming waar het verkeer wordt afgekapseld als een switch of router die het verkeer kan decapsuleren. 1. Configureer de switch of router om het gedecapsuleerde verkeer door te sturen naar de zelfstandige Defender for Identity-sensor met behulp van SPAN of RSPAN. |
Opmerking
Als de domeincontroller die wordt gespiegeld via een WAN-koppeling is verbonden, controleert u of de WAN-koppeling de extra belasting van het ERSPAN-verkeer kan verwerken.
Defender for Identity ondersteunt alleen verkeersbewaking wanneer het verkeer op dezelfde manier de NIC en de domeincontroller bereikt. Defender for Identity biedt geen ondersteuning voor verkeersbewaking wanneer het verkeer wordt opgesplitst naar verschillende poorten.
Ondersteunde opties voor poortspiegeling
In de volgende tabel wordt de ondersteuning van Defender for Identity voor configuraties voor poortspiegeling beschreven:
| Zelfstandige Defender for Identity-sensor | Domeincontroller | Overwegingen |
|---|---|---|
| Virtueel | Virtueel op dezelfde host | De virtuele switch moet poortspiegeling ondersteunen. Het verplaatsen van een van de virtuele machines naar een andere host kan de poortspiegeling onderbreken. |
| Virtueel | Virtueel op verschillende hosts | Zorg ervoor dat uw virtuele switch dit scenario ondersteunt. |
| Virtueel | Lichamelijk | Vereist een toegewezen netwerkadapter, anders ziet Defender for Identity al het verkeer dat in en uit de host komt, zelfs het verkeer dat naar de Defender for Identity-cloudservice wordt verzonden. |
| Lichamelijk | Virtueel | Zorg ervoor dat uw virtuele switch dit scenario en de configuratie voor poortspiegeling op uw fysieke switches ondersteunt op basis van het scenario: Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een bereik op switchniveau configureren. Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN* configureren. |
| Lichamelijk | Fysiek op dezelfde switch | Fysieke switch moet ondersteuning bieden voor SPAN/Poortspiegeling. |
| Lichamelijk | Fysiek op een andere schakelaar | Vereist fysieke switches ter ondersteuning van RSPAN of ERSPAN ERSPAN wordt alleen ondersteund wanneer decapsulatie wordt uitgevoerd voordat het verkeer wordt geanalyseerd door Defender for Identity. |
Opmerking
De tijd op uw domeincontrollers en de verbonden Defender for Identity-sensor moet binnen 5 minuten na elkaar worden gesynchroniseerd.
Verwante onderwerpen
Zie voor meer informatie: