vereisten voor zelfstandige Microsoft Defender for Identity-sensor
In dit artikel vindt u de vereisten voor het implementeren van een Microsoft Defender for Identity zelfstandige sensor, waarbij deze afwijken van de belangrijkste implementatievereisten.
Zie Capaciteit voor Microsoft Defender for Identity implementatie plannen voor meer informatie.
Belangrijk
Zelfstandige Defender for Identity-sensoren bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens voor meerdere detecties bieden. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
Extra systeemvereisten voor zelfstandige sensoren
Zelfstandige sensoren verschillen als volgt van de vereisten voor Defender for Identity-sensor:
Zelfstandige sensoren vereisen minimaal 5 GB schijfruimte
Zelfstandige sensoren kunnen ook worden geïnstalleerd op servers die zich in een werkgroep bevinden.
Zelfstandige sensoren kunnen ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van en naar de domeincontrollers.
Als u met meerdere forests werkt, moeten uw zelfstandige sensorcomputers via LDAP kunnen communiceren met alle externe forestdomeincontrollers.
Zie Poortspiegeling configureren voor meer informatie over het gebruik van virtuele machines met de zelfstandige Defender for Identity-sensor.
Netwerkadapters voor zelfstandige sensoren
Voor zelfstandige sensoren is ten minste een van de volgende netwerkadapters vereist:
Beheeradapters - gebruikt voor communicatie op uw bedrijfsnetwerk. De sensor gebruikt deze adapter om een query uit te voeren op de DC die deze beveiligt en oplossing uitvoert voor computeraccounts.
Beheeradapters configureren met statische IP-adressen, waaronder een standaardgateway, en voorkeurs- en alternatieve DNS-servers.
Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.
Opmerking
Als de zelfstandige Defender for Identity-sensor lid is van het domein, kan dit automatisch worden geconfigureerd.
Capture-adapter : wordt gebruikt om verkeer van en naar de domeincontrollers vast te leggen.
Belangrijk
- Configureer poortspiegeling voor de opnameadapter als de bestemming van het netwerkverkeer van de domeincontroller. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren.
- Configureer een statisch niet-routeerbaar IP-adres (met /32-masker) voor uw omgeving zonder standaardsensorgateway en zonder DNS-serveradressen. Bijvoorbeeld: '10.10.0.10/32. Deze configuratie zorgt ervoor dat de capture-netwerkadapter de maximale hoeveelheid verkeer kan vastleggen en dat de beheernetwerkadapter wordt gebruikt om het vereiste netwerkverkeer te verzenden en te ontvangen.
Opmerking
Als u Wireshark uitvoert op de zelfstandige Defender for Identity-sensor, start u de Defender for Identity-sensorservice opnieuw nadat u de Wireshark-opname hebt gestopt. Als u de sensorservice niet opnieuw start, stopt de sensor met het vastleggen van verkeer.
Als u de Defender for Identity-sensor probeert te installeren op een computer die is geconfigureerd met een NIC-koppelingsadapter, ontvangt u een installatiefout. Zie Koppelingsprobleem met Defender for Identity-sensor als u de Defender for Identity-sensor wilt installeren op een computer die is geconfigureerd met NIC-koppeling.
Poorten voor zelfstandige sensoren
De volgende tabel bevat de extra poorten die voor de zelfstandige defender for Identity-sensor moeten worden geconfigureerd op de beheeradapter, naast poorten die worden vermeld voor de Defender for Identity-sensor.
| Protocol | Vervoer | Poort | Van | Naar |
|---|---|---|---|---|
| Interne poorten | ||||
| LDAP | TCP en UDP | 389 | Defender for Identity-sensor | Domeincontrollers |
| Secure LDAP (LDAPS) | TCP | 636 | Defender for Identity-sensor | Domeincontrollers |
| LDAP naar globale catalogus | TCP | 3268 | Defender for Identity-sensor | Domeincontrollers |
| LDAPS naar globale catalogus | TCP | 3269 | Defender for Identity-sensor | Domeincontrollers |
| Kerberos | TCP en UDP | 88 | Defender for Identity-sensor | Domeincontrollers |
| Windows Time | UDP | 123 | Defender for Identity-sensor | Domeincontrollers |
| Syslog (optioneel) | TCP/UDP | 514, afhankelijk van de configuratie | SIEM-server | Defender for Identity-sensor |
Vereisten voor Windows-gebeurtenislogboeken
Defender for Identity-detectie is afhankelijk van specifieke Windows-gebeurtenislogboeken die de sensor van uw domeincontrollers parseert. Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, hebben uw domeincontrollers nauwkeurige instellingen voor geavanceerd windows-controlebeleid nodig.
Zie Geavanceerde controlebeleid en Geavanceerd beveiligingscontrolebeleid in de Windows-documentatie voor meer informatie.
Controleer uw NTLM-controle-instellingen om ervoor te zorgen dat Windows Event 8004 naar behoefte wordt gecontroleerd door de service.
Voor sensoren die worden uitgevoerd op AD FS-/AD CS-servers, configureert u het controleniveau op Uitgebreid. Zie Informatie over gebeurteniscontrole voor AD FS en Informatie over gebeurteniscontrole voor AD CS voor meer informatie.