Konfigurowanie dublowania portów
W tym artykule opisano opcje dublowania portów dla Microsoft Defender for Identity i są istotne tylko w przypadku czujników autonomicznych. Usługa Defender for Identity korzysta głównie z głębokiej inspekcji pakietów ruchu sieciowego do i z kontrolerów domeny. Aby autonomiczne czujniki usługi Defender for Identity widziały ruch sieciowy, należy skonfigurować dublowanie portów lub użyć funkcji TAP sieci. Dublowanie portów kopiuje ruch z jednego portu (portu źródłowego) do innego portu (portu docelowego).
W przypadku korzystania z dublowania portów skonfiguruj dublowanie portów dla każdego kontrolera domeny monitorowanego jako źródło ruchu sieciowego. Zalecamy współpracę z zespołem ds. sieci lub wirtualizacji w celu skonfigurowania dublowania portów.
Ważna
Czujniki autonomiczne usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń dla systemu Windows (ETW), które dostarczają dane na potrzeby wielu wykryć. Aby uzyskać pełne pokrycie środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.
Wybieranie metody dublowania portów
Kontrolery domeny i czujnik autonomiczny usługi Defender for Identity mogą być fizyczne lub wirtualne. Poniżej przedstawiono typowe metody dublowania portów i pewne zagadnienia. Aby uzyskać więcej informacji, zobacz dokumentację produktu przełącznika lub serwera wirtualizacji. Producent przełącznika może używać innej terminologii.
| Metoda | Opis |
|---|---|
| Switched Port Analyzer (SPAN) | Kopiuje ruch sieciowy z co najmniej jednego portu przełącznika do innego portu przełącznika na tym samym przełączniku. Zarówno czujnik autonomiczny usługi Defender for Identity, jak i kontrolery domeny muszą być połączone z tym samym przełącznikiem fizycznym. |
| Analizator portów przełącznika zdalnego (RSPAN) | Umożliwia monitorowanie ruchu sieciowego z portów źródłowych rozproszonych na wielu przełącznikach fizycznych. Funkcja RSPAN kopiuje ruch źródłowy do specjalnej sieci VLAN skonfigurowanej przez program RSPAN. Ta sieć VLAN musi być przełączona do innych przełączników. Funkcja RSPAN działa w warstwie 2. |
| Hermetyzowany analizator portów przełącznika zdalnego (ERSPAN) | Zastrzeżona technologia Firmy Cisco działająca w warstwie 3. Funkcja ERSPAN umożliwia monitorowanie ruchu między przełącznikami bez konieczności używania magistrali sieci VLAN i używanie ogólnej hermetyzacji routingu (GRE) do kopiowania monitorowanego ruchu sieciowego. Usługa Defender for Identity obecnie nie może bezpośrednio odbierać ruchu ERSPAN. Zamiast: 1. Skonfiguruj miejsce docelowe ERSPAN, w którym ruch jest decapsulated jako przełącznik lub router, który może decapsulate ruchu. 1. Skonfiguruj przełącznik lub router, aby przekazywać ruch decapsulated do autonomicznego czujnika usługi Defender for Identity przy użyciu funkcji SPAN lub RSPAN. |
Uwaga
Jeśli kontroler domeny będący dublowanym portem jest połączony za pośrednictwem łącza sieci WAN, upewnij się, że łącze sieci WAN może obsłużyć dodatkowe obciążenie ruchu ERSPAN.
Usługa Defender for Identity obsługuje monitorowanie ruchu tylko wtedy, gdy ruch dociera do karty sieciowej i kontrolera domeny w taki sam sposób. Usługa Defender for Identity nie obsługuje monitorowania ruchu, gdy ruch jest dzielony na różne porty.
Obsługiwane opcje dublowania portów
W poniższej tabeli opisano obsługę usługi Defender for Identity dla konfiguracji dublowania portów:
| Czujnik autonomiczny usługi Defender for Identity | Kontroler domeny | Zagadnienia dotyczące |
|---|---|---|
| Wirtualny | Wirtualny na tym samym hoście | Przełącznik wirtualny musi obsługiwać dublowanie portów. Samo przeniesienie jednej z maszyn wirtualnych na inny host może spowodować przerwanie dublowania portów. |
| Wirtualny | Wirtualne na różnych hostach | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz. |
| Wirtualny | Fizyczny | Wymaga dedykowanej karty sieciowej w przeciwnym razie usługa Defender for Identity widzi cały ruch przychodzący i wychodzący z hosta, nawet ruch wysyłany do usługi w chmurze Defender for Identity. |
| Fizyczny | Wirtualny | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz — i konfigurację dublowania portów na przełącznikach fizycznych w oparciu o scenariusz: Jeśli host wirtualny znajduje się na tym samym przełączniku fizycznym, musisz skonfigurować zakres na poziomie przełącznika. Jeśli host wirtualny znajduje się na innym przełączniku, musisz skonfigurować funkcję RSPAN lub ERSPAN*. |
| Fizyczny | Fizyczny na tym samym przełączniku | Przełącznik fizyczny musi obsługiwać dublowanie span/portów. |
| Fizyczny | Fizyczne na innym przełączniku | Wymaga przełączników fizycznych do obsługi funkcji RSPAN lub ERSPAN Funkcja ERSPAN jest obsługiwana tylko wtedy, gdy decapsulation jest wykonywana przed analizą ruchu przez usługę Defender for Identity. |
Uwaga
Czas na kontrolerach domeny i połączonym czujniku usługi Defender for Identity należy zsynchronizować w ciągu 5 minut od siebie.
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach: