Dela via

Planera kapacitet för Microsoft Defender for Identity distribution

  • Artikel

Den här artikeln beskriver hur du använder storleksverktyget Microsoft Defender for Identity för att avgöra om domänkontrollantservrarna har tillräckligt med resurser för en Microsoft Defender for Identity sensor.

Även om domänkontrollantens prestanda kanske inte påverkas om servern inte har nödvändiga resurser, kanske Defender for Identity-sensorn inte fungerar som förväntat. Mer information finns i Microsoft Defender for Identity förutsättningar.

Storleksverktyget mäter endast den kapacitet som krävs för domänkontrollanter. Det finns inget behov av att köra den mot AD FS/AD CS/Entra Connect-servrar, eftersom prestandapåverkan på dessa servrar är extremt minimal för att inte existera.

Tips

Som standard stöder Defender for Identity upp till 350 sensorer. Om du vill installera fler sensorer kontaktar du defender for Identity-supporten.

Förhandskrav

För att säkerställa korrekta resultat kör du bara storleksverktyget innan du har installerat några Defender for Identity-sensorer i din miljö.

Använda storleksverktyget

  1. Kör storleksverktyget för Defender for Identity TriSizingTool.exefrån zip-filen som du laddade ned.

  2. När verktyget har körts klart öppnar du Excel-filresultatet.

  3. Leta upp och välj bladet Azure ATP-sammanfattning i Excel-filen och kontrollera sedan kolumnen Sensorstödd för resultat som anger om servern stöds.

    Till exempel:

    Skärmbild av ett exempel på ett kapacitetsplaneringsverktyg.

    Obs!

    Det andra bladet i filen används för ATA-planering (Advanced Threat Analytics) och behövs inte för Defender för identitet.

Storleksverktyget avgör om servern stöds baserat på värdet Upptagen paket/Sekund , som beräknas baserat på de 15 mest trafikerade minuterna under en 24-timmarsperiod.

Vanliga resultat är:

Resultat Beskrivning
Ja Sensorn stöds på servern.
Ja, men ytterligare resurser krävs Sensorn stöds på servern så länge du lägger till angivna saknade resurser.
Kanske Det aktuella värdet för upptagna paket/sek kan vara betydligt högre vid den tidpunkten än genomsnittet. Kontrollera tidsstämplarna för att förstå de processer som körs vid den tidpunkten och om du kan begränsa bandbredden för dessa processer under normala omständigheter.
Kanske, men ytterligare resurser krävs Sensorn kan stödjas på servern så länge du lägger till resurser som saknas, eller så kan busy-paketen/sek vara över 60 000.
Nej Sensorn stöds inte på servern.

Det aktuella värdet för upptagna paket/sek kan vara betydligt högre vid den tidpunkten än genomsnittet. Kontrollera tidsstämplarna för att förstå de processer som körs vid den tidpunkten och om du kan begränsa bandbredden för dessa processer under normala omständigheter.
Os-data saknas Ett problem uppstod vid läsning av operativsystemdata. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning.
Trafikdata saknas Det gick inte att läsa trafikdata. Kontrollera att anslutningen till servern kan köra frågor mot prestandaräknare via fjärranslutning.
RAM-data saknas Det gick inte att läsa RAM-data. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning.
Kärndata saknas Det gick inte att läsa kärndata. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning.

Följande bild visar till exempel en uppsättning resultat där värdet Kanske anger att värdet Upptagen paket/sek är betydligt högre vid den tidpunkten än genomsnittet. Observera att Visa DC-tider som UTC/Lokal är inställt på Lokal DC-tid. Den här inställningen belyser det faktum att värdena togs runt 03:30.

Skärmbild av ett kapacitetsverktygs resultat som visar värden för Kanske.

Uppskattad storleksändring för Defender for Identity-sensorn

I följande tabell visas den uppskattade PROCESSOR- och RAM-kapacitet som behövs för en Defender for Identity-sensor, baserat på den typiska mängden nätverkstrafik som genereras av en domänkontrollant.

Den här tabellen är en uppskattning. Den slutliga mängden som sensorn parsar beror på mängden trafik och fördelningen av trafiken.

Upptagna paket/sekund CPU (fysiska kärnor) RAM (GB)
0-1k 0.25 2.50
1k-5k 0.75 6.00
5k-10k 1.00 6.50
10k-20k 2.00 9.00
20k-50k 3.50 9.50
50k-75k 5.50 11.50
75k-100k 7.50 13.50

I den här tabellen:

  • CPU- och RAM-kapacitet refererar till sensorns egen förbrukning, inte domänkontrollantkapaciteten.

  • Processorkapaciteten omfattar inte hypertrådade kärnor. Vi rekommenderar att du inte arbetar med hypertrådade kärnor, vilket kan leda till hälsoproblem i Defender för identitetssensorn.

När du fastställer storleksändringen bör du tänka på det totala antalet kärnor och den totala mängden minne som ska användas av sensortjänsten.

Mer information finns i Resursbegränsningar.

Manuell storleksuppskattning för domänkontrollanter

Om du inte kan använda storleksverktyget kan du manuellt uppskatta om domänkontrollantservrarna har tillräckligt med resurser för en Defender for Identity-sensor i stället.

Samla in manuellt räknare för paket/sekund från alla domänkontrollanter under 24 timmar med ett lågt insamlingsintervall, till exempel 5 sekunder. För varje domänkontrollant beräknar du det dagliga genomsnittet och genomsnittet för den mest trafikerade perioden (15 minuter).

Olika verktyg kan hjälpa dig att identifiera den genomsnittliga paket-/sekundräknaren för domänkontrollanten. Den här proceduren beskriver ett exempel på hur du använder Prestandaövervakaren för att samla in relevant information.

  1. Öppna Prestandaövervakaren och expandera Datainsamlaruppsättningar.

  2. Högerklicka på Användardefinierad och välj Ny > datainsamlaruppsättning.

  3. Ange ett beskrivande namn för insamlingsuppsättningen och välj Skapa manuellt (avancerat).

  4. Under Vilken typ av data vill du inkludera? väljer duSkapa dataloggar och Prestandaräknare.

  5. Expandera Nätverkskort och välj sedan Paket per sekund och relevant arbetsyta. Om du inte är säker på vilken arbetsyta du ska välja väljer du <Alla arbetsytor>. Välj Lägg till>OK för att slutföra steget.

    Om du utför det här steget från kommandoraden kan du också köra ipconfig /all för att se nätverkskortets namn och konfiguration.

  6. Ändra samplingsintervallet till fem sekunder och definiera var du vill att data ska sparas.

  7. Under Skapa datainsamlaruppsättningen väljer du Starta den här datainsamlaruppsättningen nu>Slutför.

    Nu bör du se datainsamlaruppsättningen som du skapade med en grön triangel som anger att den fungerar.

  8. Stoppa datainsamlaruppsättningen efter 24 timmar. Högerklicka på datainsamlaruppsättningen och välj Stoppa.

  9. I Utforskaren bläddrar du till mappen där .blg-filen sparades. Dubbelklicka på den för att öppna den i Prestandaövervakaren.

  10. Välj räknaren Paket/sek och registrera de genomsnittliga och högsta värdena.

Obs!

Som standard stöder Defender for Identity upp till 350 sensorer. Om du vill installera fler sensorer kontaktar du defender for Identity-supporten.

Nästa steg

Konfigurera inställningar för slutpunktsproxy och Internetanslutning »