Настройка зеркального отображения портов
В этой статье описываются параметры зеркального отображения портов для Microsoft Defender для удостоверений, и она относится только к автономным датчикам. Defender для удостоверений в основном использует глубокую проверку пакетов сетевого трафика в контроллеры домена и из него. Чтобы автономные датчики Defender для удостоверений отображали сетевой трафик, необходимо либо настроить зеркальное отображение портов, либо использовать TAP сети. Зеркальное отображение портов копирует трафик из одного порта (исходный порт) в другой порт (порт назначения).
При использовании зеркального отображения портов настройте зеркальное отображение портов для каждого контроллера домена, который вы отслеживаете в качестве источника сетевого трафика. Для настройки зеркального отображения портов рекомендуется сотрудничать с командой по работе с сетями или виртуализацией.
Важно!
Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.
Выбор метода зеркального отображения портов
Контроллеры домена и автономный датчик Defender для удостоверений могут быть физическими или виртуальными. Ниже приведены распространенные методы зеркального отображения портов и некоторые рекомендации. Дополнительные сведения см. в документации по продукту коммутатора или сервера виртуализации. Производитель коммутатора может использовать другую терминологию.
| Метод | Описание |
|---|---|
| Анализатор переключения портов (SPAN) | Копирует сетевой трафик из одного или нескольких портов коммутатора в другой порт коммутатора на том же коммутаторе. Автономный датчик Defender для удостоверений и контроллеры домена должны быть подключены к одному физическому коммутатору. |
| Анализатор портов удаленного коммутатора (RSPAN) | Позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам. RSPAN копирует исходный трафик в специальную виртуальную локальную сеть RSPAN, настроенную. Эту виртуальную локальную сеть необходимо перенастраивать к другим задействованным коммутаторам. RSPAN работает на уровне 2. |
| Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) | Собственная технология Cisco, работающая на уровне 3. ERSPAN позволяет отслеживать трафик между коммутаторами без использования магистралей VLAN и использует универсальную инкапсуляцию маршрутизации (GRE) для копирования отслеживаемого сетевого трафика. В настоящее время Defender для удостоверений не может напрямую получать трафик ERSPAN. Вместо: 1. Настройте назначение ERSPAN, где трафик декапсулируется в виде коммутатора или маршрутизатора, который может декапсулировать трафик. 1. Настройте коммутатор или маршрутизатор для перенаправления обезглавленного трафика на автономный датчик Defender для удостоверений с помощью SPAN или RSPAN. |
Примечание.
Если контроллер домена, для которого выполняется зеркальное отображение порта, подключен по каналу глобальной сети, убедитесь, что канал глобальной сети может обрабатывать дополнительную нагрузку трафика ERSPAN.
Defender для удостоверений поддерживает мониторинг трафика только в том случае, если трафик достигает сетевой карты и контроллера домена одинаковым образом. Defender для удостоверений не поддерживает мониторинг трафика при переборе трафика на разные порты.
Поддерживаемые параметры зеркального отображения портов
В следующей таблице описана поддержка конфигураций зеркального отображения портов в Defender для удостоверений.
| Автономный датчик Defender для удостоверений | Контроллер домена | Рекомендации |
|---|---|---|
| Виртуальный | Виртуальный на том же узле | Виртуальный коммутатор должен поддерживать зеркальное отображение портов. Перемещение одной из виртуальных машин на другой узел само по себе может нарушить зеркальное отображение портов. |
| Виртуальный | Виртуальный на разных узлах | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий. |
| Виртуальный | Физический | Требуется выделенный сетевой адаптер, в противном случае Defender для удостоверений видит весь трафик, поступающий и исходящий с узла, даже трафик, отправляемый в облачную службу Defender для удостоверений. |
| Физический | Виртуальный | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий и конфигурацию зеркального отображения портов в физических коммутаторах на основе сценария: Если виртуальный узел находится на том же физическом коммутаторе, необходимо настроить диапазон уровней коммутатора. Если виртуальный узел находится на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*. |
| Физический | Физический на том же коммутаторе | Физический коммутатор должен поддерживать зеркальное отображение span/port. |
| Физический | Физический на другом коммутаторе | Требуются физические коммутаторы для поддержки RSPAN или ERSPAN ERSPAN поддерживается только в том случае, если декапсуляция выполняется перед анализом трафика с помощью Defender для удостоверений. |
Примечание.
Время на контроллерах домена и подключенном датчике Defender для удостоверений должно быть синхронизировано в течение 5 минут после каждого другого.
Связанные материалы
Дополнительные сведения см. в разделе: