Udostępnij za pośrednictwem


Konfigurowanie dublowania portów

W tym artykule opisano opcje dublowania portów dla usługi Microsoft Defender for Identity i dotyczą tylko autonomicznych czujników. Usługa Defender for Identity używa głównie głębokiej inspekcji pakietów przez ruch sieciowy do i z kontrolerów domeny. Aby autonomiczne czujniki usługi Defender for Identity wyświetlały ruch sieciowy, należy skonfigurować dublowanie portów lub użyć interfejsu TAP sieci. Dublowanie portów kopiuje ruch z jednego portu (portu źródłowego) do innego portu (portu docelowego).

W przypadku korzystania z funkcji dublowania portów skonfiguruj dublowanie portów dla każdego kontrolera domeny, który monitorujesz jako źródło ruchu sieciowego. Zalecamy współpracę z zespołem ds. sieci lub wirtualizacji w celu skonfigurowania funkcji dublowania portów.

Ważne

Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń systemu Windows (ETW), które zapewniają dane dla wielu wykryć. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.

Wybieranie metody dublowania portów

Kontrolery domeny i autonomiczny czujnik usługi Defender for Identity mogą być fizyczne lub wirtualne. Poniżej przedstawiono typowe metody dublowania portów i niektóre zagadnienia. Aby uzyskać więcej informacji, zobacz dokumentację produktu switch or virtualization server. Producent przełącznika może używać innej terminologii.

Metoda opis
Switched Port Analyzer (SPAN) Kopiuje ruch sieciowy z co najmniej jednego portu przełącznika do innego portu przełącznika na tym samym przełączniku. Zarówno autonomiczny czujnik usługi Defender for Identity, jak i kontrolery domeny muszą być połączone z tym samym przełącznikiem fizycznym.
Analizator portów przełącznika zdalnego (RSPAN) Umożliwia monitorowanie ruchu sieciowego z portów źródłowych rozproszonych za pośrednictwem wielu przełączników fizycznych. Funkcja RSPAN kopiuje ruch źródłowy do specjalnej sieci VLAN skonfigurowanej przez funkcję RSPAN. Ta sieć VLAN musi być przełączona w magistralę do innych zaangażowanych przełączników. Funkcja RSPAN działa w warstwie 2.
Hermetyzowany analizator portów przełącznika zdalnego (ERSPAN) Zastrzeżona technologia Firmy Cisco działająca w warstwie 3. Funkcja ERSPAN umożliwia monitorowanie ruchu między przełącznikami bez konieczności używania magistrali sieci VLAN i używanie ogólnego hermetyzacji routingu (GRE) do kopiowania monitorowanego ruchu sieciowego.

Usługa Defender for Identity obecnie nie może bezpośrednio odbierać ruchu ERSPAN. Zamiast:
1. Skonfiguruj miejsce docelowe ERSPAN, w którym ruch jest decapsulatowany jako przełącznik lub router, który może decapsulate ruchu.
1. Skonfiguruj przełącznik lub router, aby przekazać decapsulatowany ruch do autonomicznego czujnika usługi Defender for Identity przy użyciu funkcji SPAN lub RSPAN.

Uwaga

  • Jeśli kontroler domeny, który jest dublowany na porcie, jest połączony za pośrednictwem łącza sieci WAN, upewnij się, że łącze sieci WAN może obsłużyć dodatkowe obciążenie ruchu ERSPAN.

  • Usługa Defender for Identity obsługuje monitorowanie ruchu tylko wtedy, gdy ruch dociera do karty sieciowej i kontrolera domeny w taki sam sposób. Usługa Defender for Identity nie obsługuje monitorowania ruchu, gdy ruch jest podzielony na różne porty.

Obsługiwane opcje dublowania portów

W poniższej tabeli opisano obsługę usługi Defender for Identity dla konfiguracji dublowania portów:

Autonomiczny czujnik usługi Defender for Identity Kontroler domeny Kwestie wymagające rozważenia
Wirtualne Maszyna wirtualna na tym samym hoście Przełącznik wirtualny musi obsługiwać dublowanie portów.

Przeniesienie jednej z maszyn wirtualnych na inny host może spowodować przerwanie dublowania portów.
Wirtualne Maszyna wirtualna na różnych hostach Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz.
Wirtualne Fizyczne Wymaga dedykowanej karty sieciowej w przeciwnym razie usługa Defender for Identity widzi cały ruch przychodzący i wychodzący z hosta, nawet ruch wysyłany do usługi Defender for Identity w chmurze.
Fizyczne Wirtualne Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz — i konfigurację dublowania portów na przełącznikach fizycznych w zależności od scenariusza:

Jeśli host wirtualny znajduje się na tym samym przełączniku fizycznym, należy skonfigurować zakres poziomu przełącznika.

Jeśli host wirtualny znajduje się na innym przełączniku, należy skonfigurować funkcję RSPAN lub ERSPAN*.
Fizyczne Fizyczny na tym samym przełączniku Przełącznik fizyczny musi obsługiwać funkcję SPAN/dublowanie portów.
Fizyczne Fizyczny na innym przełączniku Wymaga przełączników fizycznych do obsługi funkcji RSPAN lub ERSPAN

Funkcja ERSPAN jest obsługiwana tylko w przypadku demetyzacji przed przeanalizowaniem ruchu przez usługę Defender for Identity.

Uwaga

Czas na kontrolerach domeny i połączony czujnik usługi Defender for Identity musi być zsynchronizowany z upływem 5 minut od każdego innego.

Aby uzyskać więcej informacji, zobacz: