Wymagania wstępne dotyczące autonomicznego czujnika usługi Microsoft Defender for Identity
W tym artykule wymieniono wymagania wstępne dotyczące wdrażania autonomicznego czujnika usługi Microsoft Defender for Identity, w którym różnią się one od głównych wymagań wstępnych dotyczących wdrażania.
Aby uzyskać więcej informacji, zobacz Planowanie pojemności wdrożenia usługi Microsoft Defender for Identity.
Ważne
Autonomiczne czujniki usługi Defender for Identity nie obsługują zbierania wpisów dziennika śledzenia zdarzeń systemu Windows (ETW), które zapewniają dane dla wielu wykryć. Aby uzyskać pełny zakres środowiska, zalecamy wdrożenie czujnika usługi Defender for Identity.
Dodatkowe wymagania systemowe dotyczące autonomicznych czujników
Autonomiczne czujniki różnią się od wymagań wstępnych czujnika usługi Defender for Identity w następujący sposób:
Czujniki autonomiczne wymagają co najmniej 5 GB miejsca na dysku
Autonomiczne czujniki można również zainstalować na serwerach, które znajdują się w grupie roboczej.
Autonomiczne czujniki mogą obsługiwać monitorowanie wielu kontrolerów domeny, w zależności od ilości ruchu sieciowego do i z kontrolerów domeny.
Jeśli pracujesz z wieloma lasami, autonomiczne maszyny czujników muszą mieć możliwość komunikowania się ze wszystkimi zdalnymi kontrolerami domeny lasu przy użyciu protokołu LDAP.
Aby uzyskać informacje na temat używania maszyn wirtualnych z autonomicznym czujnikiem usługi Defender for Identity, zobacz Konfigurowanie dublowania portów.
Karty sieciowe dla autonomicznych czujników
Autonomiczne czujniki wymagają co najmniej jednej z następujących kart sieciowych:
Karty zarządzania — używane do komunikacji w sieci firmowej. Czujnik używa tej karty do wykonywania zapytań dotyczących kontrolera domeny, który chroni i wykonuje rozpoznawanie kont maszyn.
Skonfiguruj karty zarządzania przy użyciu statycznych adresów IP, w tym bramy domyślnej oraz preferowanych i alternatywnych serwerów DNS.
Sufiks DNS dla tego połączenia powinien być nazwą DNS domeny dla każdej monitorowanej domeny.
Uwaga
Jeśli autonomiczny czujnik usługi Defender for Identity jest członkiem domeny, można to skonfigurować automatycznie.
Karta przechwytywania — służy do przechwytywania ruchu do i z kontrolerów domeny.
Ważne
- Skonfiguruj dublowanie portów dla karty przechwytywania jako miejsce docelowe ruchu sieciowego kontrolera domeny. Zazwyczaj należy pracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów.
- Skonfiguruj statyczny adres IP bez routingu (z maską /32) dla środowiska bez domyślnej bramy czujnika i bez adresów serwera DNS. Na przykład: "10.10.0.10/32. Ta konfiguracja zapewnia, że karta sieciowa przechwytywania może przechwytywać maksymalną ilość ruchu i że karta sieciowa zarządzania jest używana do wysyłania i odbierania wymaganego ruchu sieciowego.
Uwaga
Jeśli uruchomisz program Wireshark w autonomicznym czujniku usługi Defender for Identity, uruchom ponownie usługę czujnika defender for Identity po zatrzymaniu przechwytywania wireshark. Jeśli usługa czujnika nie zostanie uruchomiona ponownie, czujnik przestanie przechwytywać ruch.
Jeśli spróbujesz zainstalować czujnik usługi Defender for Identity na maszynie skonfigurowanej przy użyciu karty sieciowej, wystąpi błąd instalacji. Jeśli chcesz zainstalować czujnik usługi Defender for Identity na maszynie skonfigurowanej za pomocą tworzenia zespołu kart interfejsu sieciowego, zobacz Problem z tworzeniem zespołu kart interfejsu sieciowego czujnika usługi Defender for Identity.
Porty dla autonomicznych czujników
W poniższej tabeli wymieniono dodatkowe porty wymagane przez autonomiczny czujnik usługi Defender for Identity na karcie zarządzania oprócz portów wymienionych dla czujnika usługi Defender for Identity.
| Protokół | Transport | Port | od | do |
|---|---|---|---|---|
| Porty wewnętrzne | ||||
| LDAP | TCP i UDP | 389 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Protokół Secure LDAP (LDAPS) | TCP | 636 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Ldap do wykazu globalnego | TCP | 3268 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| LdapS do wykazu globalnego | TCP | 3269 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Kerberos | TCP i UDP | 88 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Czas systemu Windows | UDP | 123 | Czujnik usługi Defender for Identity | Kontrolery domeny |
| Dziennik systemowy (opcjonalnie) | TCP/UDP | 514, w zależności od konfiguracji | Serwer SIEM | Czujnik usługi Defender for Identity |
Wymagania dotyczące dziennika zdarzeń systemu Windows
Wykrywanie tożsamości w usłudze Defender opiera się na określonych dziennikach zdarzeń systemu Windows, które czujnik analizuje z kontrolerów domeny. W celu przeprowadzenia inspekcji i włączenia odpowiednich zdarzeń w dzienniku zdarzeń systemu Windows kontrolery domeny wymagają dokładnych ustawień zaawansowanych zasad inspekcji systemu Windows.
Aby uzyskać więcej informacji, zobacz Zaawansowane sprawdzanie zasad inspekcji i Zaawansowane zasady inspekcji zabezpieczeń w dokumentacji systemu Windows.
Aby upewnić się, że zdarzenie systemu Windows 8004 jest poddawane inspekcji zgodnie z potrzebami usługi, przejrzyj ustawienia inspekcji NTLM.
W przypadku czujników działających na serwerach usług AD FS/AD CS należy skonfigurować poziom inspekcji do pełnej. Aby uzyskać więcej informacji, zobacz Informacje o inspekcji zdarzeń dla usług AD FS i informacje inspekcji zdarzeń dla usług AD CS.