Microsoft Defender для удостоверений предварительные требования к автономному датчику
В этой статье перечислены предварительные требования для развертывания автономного датчика Microsoft Defender для удостоверений, где они отличаются от предварительных требований main развертывания.
Дополнительные сведения см. в статье Планирование емкости для Microsoft Defender для удостоверений развертывания.
Важно!
Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.
Дополнительные требования к системе для автономных датчиков
Автономные датчики отличаются от предварительных требований для датчика Defender для удостоверений следующим образом:
Для автономных датчиков требуется не менее 5 ГБ дискового пространства
Автономные датчики также можно установить на серверах, которые находятся в рабочей группе.
Автономные датчики могут поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика к контроллерам домена и от нее.
Если вы работаете с несколькими лесами, автономным компьютерам датчиков должно быть разрешено взаимодействовать со всеми удаленными контроллерами домена леса с помощью ПРОТОКОЛА LDAP.
Сведения об использовании виртуальных машин с автономным датчиком Defender для удостоверений см. в статье Настройка зеркального отображения портов.
Сетевые адаптеры для автономных датчиков
Для автономных датчиков требуется по крайней мере один из следующих сетевых адаптеров:
Адаптеры управления — используются для обмена данными в корпоративной сети. Датчик использует этот адаптер для запроса контроллера домена, который он защищает, и выполняет разрешение учетных записей компьютеров.
Настройте адаптеры управления со статическими IP-адресами, включая шлюз по умолчанию, а также предпочитаемые и альтернативные DNS-серверы.
DNS-суффикс для этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.
Примечание.
Если автономный датчик Defender для удостоверений является членом домена, его можно настроить автоматически.
Адаптер записи — используется для отслеживания трафика в контроллеры домена и из нее.
Важно!
- Настройте зеркальное отображение портов для адаптера записи в качестве назначения сетевого трафика контроллера домена. Как правило, для настройки зеркального отображения портов необходимо сотрудничать с командой по работе с сетью или виртуализацией.
- Настройте статический IP-адрес, не допускающий маршрутизирование (с маской /32) для своей среды без шлюза датчика по умолчанию и адресов DNS-сервера. Например: '10.10.0.10/32. Эта конфигурация гарантирует, что сетевой адаптер записи может захватывать максимальный объем трафика и что сетевой адаптер управления используется для отправки и получения необходимого сетевого трафика.
Примечание.
Если вы запускаете Wireshark на автономном датчике Defender для удостоверений, перезапустите службу датчика Defender для удостоверений после остановки записи Wireshark. Если не перезапустить службу датчиков, датчик перестанет захватывать трафик.
При попытке установить датчик Defender для удостоверений на компьютере, настроенном с помощью адаптера объединения сетевых карт, возникает ошибка установки. Если вы хотите установить датчик Defender для удостоверений на компьютере, настроенном с объединением сетевых карт, см. статью Проблема объединения сетевых карт с датчиком Defender для удостоверений.
Порты для автономных датчиков
В следующей таблице перечислены дополнительные порты, которые требуются автономному датчику Defender для удостоверений, настроенные в адаптере управления, а также порты, перечисленные для датчика Defender для удостоверений.
| Протокол | Transport | Порт | From | To |
|---|---|---|---|---|
| Внутренние порты | ||||
| LDAP | TCP и UDP | 389 | Датчик Defender для удостоверений | Контроллеры доменов |
| Secure LDAP (LDAPS) | TCP | 636 | Датчик Defender для удостоверений | Контроллеры доменов |
| LDAP к глобальному каталогу | TCP | 3268 | Датчик Defender для удостоверений | Контроллеры доменов |
| LDAPS к глобальному каталогу | TCP | 3269 | Датчик Defender для удостоверений | Контроллеры доменов |
| Kerberos; | TCP и UDP | 88 | Датчик Defender для удостоверений | Контроллеры доменов |
| Служба времени Windows | UDP | 123 | Датчик Defender для удостоверений | Контроллеры доменов |
| Системный журнал (необязательно) | TCP/UDP | 514, в зависимости от конфигурации | Сервер SIEM | Датчик Defender для удостоверений |
Требования к журналу событий Windows
Обнаружение Defender для удостоверений зависит от определенных журналов событий Windows , которые датчик анализирует с контроллеров домена. Для аудита правильных событий и их включения в журнал событий Windows контроллерам домена требуются точные параметры политики расширенного аудита Windows.
Дополнительные сведения см. в разделах Расширенная политика аудита проверка и Расширенные политики аудита безопасности документации Windows.
Чтобы убедиться, что служба выполняет аудит события Windows 8004 , просмотрите параметры аудита NTLM.
Для датчиков, работающих на серверах AD FS или AD CS, настройте уровень аудита в значение Подробно. Дополнительные сведения см. в разделах Сведения об аудите событий для AD FS и Сведения об аудите событий для AD CS.