Configurar o espelhamento de porta
Este artigo descreve as opções de espelhamento de porta para Microsoft Defender para Identidade e é relevante apenas para sensores autónomos. O Defender para Identidade utiliza principalmente a inspeção de pacotes aprofundada sobre o tráfego de rede de e para os controladores de domínio. Para que os sensores autónomos do Defender para Identidade vejam o tráfego de rede, tem de configurar o espelhamento de porta ou utilizar um TAP de Rede. O espelhamento de porta copia o tráfego de uma porta (a porta de origem) para outra porta (a porta de destino).
Ao utilizar o espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio que está a monitorizar como a origem do tráfego de rede. Recomendamos que trabalhe com a equipa de rede ou virtualização para configurar o espelhamento de porta.
Importante
Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implementação do sensor do Defender para Identidade.
Escolher um método de espelhamento de porta
Os controladores de domínio e o sensor autónomo do Defender para Identidade podem ser físicos ou virtuais. Seguem-se métodos comuns para espelhamento de porta e algumas considerações. Para obter mais informações, veja a documentação do produto do comutador ou do servidor de virtualização. O fabricante do comutador pode utilizar terminologia diferente.
| Método | Descrição |
|---|---|
| Analisador de Portas Comutado (SPAN) | Copia o tráfego de rede de uma ou mais portas de comutador para outra porta de comutador no mesmo comutador. Tanto o sensor autónomo do Defender para Identidade como os controladores de domínio têm de estar ligados ao mesmo comutador físico. |
| Analisador de Portas de Comutador Remoto (RSPAN) | Permite-lhe monitorizar o tráfego de rede das portas de origem distribuídas por vários comutadores físicos. O RSPAN copia o tráfego de origem para uma VLAN especial configurada pelo RSPAN. Esta VLAN tem de ser ligada aos outros comutadores envolvidos. O RSPAN funciona na Camada 2. |
| Encapsulado Remote Switch Port Analyzer (ERSPAN) | Uma tecnologia proprietária da Cisco a trabalhar na Camada 3. O ERSPAN permite-lhe monitorizar o tráfego entre comutadores sem a necessidade de ramais de VLAN e utiliza o encapsulamento de encaminhamento genérico (GRE) para copiar o tráfego de rede monitorizado. Atualmente, o Defender para Identidade não pode receber diretamente tráfego ERSPAN. Em vez disso: 1. Configure o destino ERSPAN onde o tráfego é decapsulado como um comutador ou router que pode decapsular o tráfego. 1. Configure o comutador ou router para reencaminhar o tráfego descapsulado para o sensor autónomo do Defender para Identidade utilizando SPAN ou RSPAN. |
Nota
Se o controlador de domínio que está a ser espelhado de porta estiver ligado através de uma ligação WAN, certifique-se de que a ligação WAN consegue processar a carga adicional do tráfego ERSPAN.
O Defender para Identidade só suporta a monitorização de tráfego quando o tráfego chega ao NIC e ao controlador de domínio da mesma forma. O Defender para Identidade não suporta a monitorização de tráfego quando o tráfego é dividido em portas diferentes.
Opções de espelhamento de porta suportadas
A tabela seguinte descreve o suporte do Defender para Identidade para configurações de espelhamento de porta:
| Sensor autónomo do Defender para Identidade | Controlador de domínio | Considerações |
|---|---|---|
| Virtual | Virtual no mesmo anfitrião | O comutador virtual tem de suportar o espelhamento de porta. Mover uma das máquinas virtuais para outro anfitrião por si só pode interromper o espelhamento de porta. |
| Virtual | Virtual em anfitriões diferentes | Certifique-se de que o comutador virtual suporta este cenário. |
| Virtual | Físico | Requer um adaptador de rede dedicado, caso contrário, o Defender para Identidade vê todo o tráfego a entrar e a sair do anfitrião, até mesmo o tráfego que envia para o serviço cloud do Defender para Identidade. |
| Físico | Virtual | Certifique-se de que o comutador virtual suporta este cenário e a configuração do espelhamento de porta nos comutadores físicos com base no cenário: Se o anfitrião virtual estiver no mesmo comutador físico, terá de configurar um intervalo de nível de comutador. Se o anfitrião virtual estiver num comutador diferente, terá de configurar o RSPAN ou o ERSPAN*. |
| Físico | Físico no mesmo comutador | O comutador físico tem de suportar o ESPELHAMENTO DE PORTAS/SPAN. |
| Físico | Físico num comutador diferente | Requer comutadores físicos para suportar RSPAN ou ERSPAN O ERSPAN só é suportado quando o isolamento decapsão é efetuado antes de o tráfego ser analisado pelo Defender para Identidade. |
Nota
O tempo nos controladores de domínio e no sensor do Defender para Identidade ligado tem de ser sincronizado para um período de 5 minutos entre si.
Conteúdos relacionados
Para mais informações, consulte: