Microsoft Defender for Identity wymagania wstępne dotyczące czujnika autonomicznego
W tym artykule wymieniono wymagania wstępne dotyczące wdrażania Microsoft Defender for Identity czujnika autonomicznego, który różni się od głównych wymagań wstępnych wdrożenia.
Aby uzyskać więcej informacji, zobacz Planowanie pojemności dla wdrożenia Microsoft Defender for Identity.
Ważna
Czujniki autonomiczne usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń dla systemu Windows (ETW), które dostarczają dane na potrzeby wielu wykryć. Aby uzyskać pełne pokrycie środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.
Dodatkowe wymagania systemowe dotyczące czujników autonomicznych
Czujniki autonomiczne różnią się od wymagań wstępnych czujnika usługi Defender for Identity w następujący sposób:
Czujniki autonomiczne wymagają co najmniej 5 GB miejsca na dysku
Czujniki autonomiczne można również zainstalować na serwerach znajdujących się w grupie roboczej.
Czujniki autonomiczne mogą obsługiwać monitorowanie wielu kontrolerów domeny, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny.
Jeśli pracujesz z wieloma lasami, autonomiczne maszyny czujników muszą mieć możliwość komunikowania się ze wszystkimi zdalnymi kontrolerami domeny lasu przy użyciu protokołu LDAP.
Aby uzyskać informacje na temat korzystania z maszyn wirtualnych z autonomicznym czujnikiem usługi Defender for Identity, zobacz Konfigurowanie dublowania portów.
Karty sieciowe dla czujników autonomicznych
Czujniki autonomiczne wymagają co najmniej jednej z następujących kart sieciowych:
Karty zarządzania — używane do komunikacji w sieci firmowej. Czujnik używa tej karty do wykonywania zapytań dotyczących kontrolera domeny, który chroni i wykonuje rozpoznawanie kont maszyn.
Skonfiguruj karty zarządzania ze statycznymi adresami IP, w tym bramą domyślną, oraz preferowanymi i alternatywnymi serwerami DNS.
Sufiks DNS dla tego połączenia powinien być nazwą DNS domeny dla każdej monitorowanej domeny.
Uwaga
Jeśli autonomiczny czujnik usługi Defender for Identity jest członkiem domeny, może to być skonfigurowane automatycznie.
Przechwytywanie karty — służy do przechwytywania ruchu do i z kontrolerów domeny.
Ważna
- Skonfiguruj dublowanie portów dla karty przechwytywania jako miejsca docelowego ruchu sieciowego kontrolera domeny. Zazwyczaj należy współpracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów.
- Skonfiguruj statyczny adres IP bez routingu (z maską /32) dla środowiska bez domyślnej bramy czujnika i bez adresów serwera DNS. Na przykład: '10.10.0.10/32. Ta konfiguracja gwarantuje, że karta sieciowa przechwytywania może przechwycić maksymalną ilość ruchu oraz że karta sieciowa zarządzania jest używana do wysyłania i odbierania wymaganego ruchu sieciowego.
Uwaga
Jeśli uruchomisz narzędzie Wireshark w autonomicznym czujniku usługi Defender for Identity, uruchom ponownie usługę czujnika usługi Defender for Identity po zatrzymaniu przechwytywania narzędzia Wireshark. Jeśli nie uruchomisz ponownie usługi czujnika, czujnik przestanie przechwytywania ruchu.
Jeśli spróbujesz zainstalować czujnik usługi Defender for Identity na maszynie skonfigurowanej przy użyciu karty sieciowej, zostanie wyświetlony błąd instalacji. Jeśli chcesz zainstalować czujnik usługi Defender for Identity na maszynie skonfigurowanej z tworzeniem zespołu kart sieciowych, zobacz Problem z tworzeniem zespołu kart interfejsu sieciowego czujnika usługi Defender for Identity.
Porty dla czujników autonomicznych
W poniższej tabeli wymieniono dodatkowe porty wymagane przez czujnik autonomiczny usługi Defender for Identity skonfigurowane na karcie zarządzania, a także porty wymienione dla czujnika usługi Defender for Identity.
| Protocol (Protokół) | Transport | Port | Od | Do |
|---|---|---|---|---|
| Porty wewnętrzne | ||||
| LDAP | TCP i UDP | 389 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Bezpieczny protokół LDAP (LDAPS) | TCP | 636 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Protokół LDAP do wykazu globalnego | TCP | 3268 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| LDAPS do wykazu globalnego | TCP | 3269 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Kerberos | TCP i UDP | 88 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Usługa Czas systemu Windows | UDP | 123 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Dziennik systemowy (opcjonalnie) | TCP/UDP | 514, w zależności od konfiguracji | Serwer SIEM | Czujnik usługi Defender for Identity |
Wymagania dotyczące dziennika zdarzeń systemu Windows
Wykrywanie usługi Defender for Identity opiera się na określonych dziennikach zdarzeń systemu Windows , które czujnik analizuje z kontrolerów domeny. Aby poprawne zdarzenia zostały poddane inspekcji i uwzględnione w dzienniku zdarzeń systemu Windows, kontrolery domeny wymagają dokładnych ustawień zaawansowanych zasad inspekcji systemu Windows.
Aby uzyskać więcej informacji, zobacz Zaawansowane sprawdzanie zasad inspekcji i Zaawansowane zasady inspekcji zabezpieczeń w dokumentacji systemu Windows.
Aby upewnić się, że zdarzenie systemu Windows 8004 jest poddawane inspekcji zgodnie z potrzebami usługi, przejrzyj ustawienia inspekcji NTLM.
W przypadku czujników działających na serwerach usług AD FS/AD CS skonfiguruj poziom inspekcji tak, aby był pełny. Aby uzyskać więcej informacji, zobacz Informacje o inspekcji zdarzeń dla usług AD FS i informacje inspekcji zdarzeń dla usługi AD CS.