Microsoft Defender for Identity fristående sensorkrav
Den här artikeln innehåller förutsättningar för att distribuera en Microsoft Defender for Identity fristående sensor där de skiljer sig från de viktigaste distributionskraven.
Mer information finns i Planera kapacitet för Microsoft Defender for Identity distribution.
Viktigt
Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.
Extra systemkrav för fristående sensorer
Fristående sensorer skiljer sig från kraven för Defender för identitetssensor enligt följande:
Fristående sensorer kräver minst 5 GB diskutrymme
Fristående sensorer kan också installeras på servrar som finns i en arbetsgrupp.
Fristående sensorer kan ha stöd för övervakning av flera domänkontrollanter, beroende på mängden nätverkstrafik till och från domänkontrollanterna.
Om du arbetar med flera skogar måste dina fristående sensordatorer kunna kommunicera med alla fjärrskogsdomänkontrollanter med hjälp av LDAP.
Information om hur du använder virtuella datorer med fristående Defender for Identity-sensor finns i Konfigurera portspegling.
Nätverkskort för fristående sensorer
Fristående sensorer kräver minst ett av följande nätverkskort:
Hanteringskort – används för kommunikation i företagets nätverk. Sensorn använder det här kortet för att fråga den domänkontrollant som skyddar och utför matchning mot datorkonton.
Konfigurera hanteringskort med statiska IP-adresser, inklusive en standardgateway, och önskade och alternativa DNS-servrar.
DNS-suffixet för den här anslutningen ska vara DNS-namnet på domänen för varje domän som övervakas.
Obs!
Om den fristående Defender for Identity-sensorn är medlem i domänen kan detta konfigureras automatiskt.
Avbildningskort – används för att samla in trafik till och från domänkontrollanterna.
Viktigt
- Konfigurera portspegling för avbildningskortet som mål för domänkontrollantens nätverkstrafik. Vanligtvis behöver du arbeta med nätverks- eller virtualiseringsteamet för att konfigurera portspegling.
- Konfigurera en statisk icke-dirigerbar IP-adress (med /32-mask) för din miljö utan standardsensorgateway och inga DNS-serveradresser. Exempel: '10.10.0.10/32. Den här konfigurationen säkerställer att avbildningsnätverkskortet kan samla in maximal mängd trafik och att hanteringsnätverkskortet används för att skicka och ta emot nödvändig nätverkstrafik.
Obs!
Om du kör Wireshark på en fristående Defender for Identity-sensor startar du om tjänsten Defender för identitetssensor när du har stoppat Wireshark-avbildningen. Om du inte startar om sensortjänsten slutar sensorn att samla in trafik.
Om du försöker installera Defender for Identity-sensorn på en dator som konfigurerats med ett nätverkskort för teamindelning får du ett installationsfel. Om du vill installera Defender for Identity-sensorn på en dator som konfigurerats med NIC-teamindelning läser du Teamindelningsproblem för Defender for Identity Sensor NIC.
Portar för fristående sensorer
I följande tabell visas de extra portar som den fristående Defender for Identity-sensorn behöver konfigureras på hanteringskortet, förutom portar som anges för Defender for Identity-sensorn.
| Protokoll | Transport | Port | Från | Till |
|---|---|---|---|---|
| Interna portar | ||||
| LDAP | TCP och UDP | 389 | Defender for Identity-sensor | Domänkontrollanter |
| Säker LDAP (LDAPS) | TCP | 636 | Defender for Identity-sensor | Domänkontrollanter |
| LDAP till global katalog | TCP | 3268 | Defender for Identity-sensor | Domänkontrollanter |
| LDAPS till global katalog | TCP | 3269 | Defender for Identity-sensor | Domänkontrollanter |
| Kerberos | TCP och UDP | 88 | Defender for Identity-sensor | Domänkontrollanter |
| Windows tidstjänst | UDP | 123 | Defender for Identity-sensor | Domänkontrollanter |
| Syslog (valfritt) | TCP/UDP | 514, beroende på konfiguration | SIEM-server | Defender for Identity-sensor |
Krav för Windows-händelselogg
Defender för identitetsidentifiering förlitar sig på specifika Windows-händelseloggar som sensorn parsar från dina domänkontrollanter. För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver domänkontrollanterna korrekta inställningar för Windows Avancerade granskningsprinciper.
Mer information finns i Avancerad granskningsprincipkontroll och Avancerade säkerhetsgranskningsprinciper i Windows-dokumentationen.
Kontrollera att Windows Event 8004 granskas efter behov av tjänsten genom att granska NTLM-granskningsinställningarna.
För sensorer som körs på AD FS/AD CS-servrar konfigurerar du granskningsnivån till Utförlig. Mer information finns i Händelsegranskningsinformation för AD FS och händelsegranskningsinformation för AD CS.