配置端口镜像
本文介绍Microsoft Defender for Identity的端口镜像选项,仅与独立传感器相关。 Defender for Identity 主要通过传入和传出域控制器的网络流量使用深度数据包检查。 若要使 Defender for Identity 独立传感器查看网络流量,必须配置端口镜像或使用网络 TAP。 端口镜像将流量从源端口 () 的一个端口复制到目标端口) (另一个端口。
使用端口镜像时,请为作为网络流量源监视的每个域控制器配置端口镜像。 建议与网络或虚拟化团队合作来配置端口镜像。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪) 日志条目,这些日志条目为多个检测提供数据。 为了全面覆盖环境,建议部署 Defender for Identity 传感器。
选择端口镜像方法
域控制器和 Defender for Identity 独立传感器可以是物理传感器,也可以是虚拟传感器。 以下是端口镜像的常见方法和一些注意事项。 有关详细信息,请参阅交换机或虚拟化服务器产品文档。 交换机制造商可能使用不同的术语。
| 方法 | 说明 |
|---|---|
| 交换端口分析器 (SPAN) | 将网络流量从一个或多个交换机端口复制到同一交换机上的另一个交换机端口。 Defender for Identity 独立传感器和域控制器必须连接到同一物理交换机。 |
| 远程交换机端口分析器 (RSPAN) | 允许监视来自分布在多个物理交换机上的源端口的网络流量。 RSPAN 将源流量复制到配置了 RSPAN 的特殊 VLAN 中。 此 VLAN 需要中继到涉及的其他交换机。 RSPAN 适用于第 2 层。 |
| 封装的远程交换机端口分析器 (ERSPAN) | 在第 3 层工作的 Cisco 专有技术。 ERSPAN 允许监视交换机之间的流量,而无需 VLAN 中继,并使用通用路由封装 (GRE) 复制受监视的网络流量。 Defender for Identity 目前无法直接接收 ERSPAN 流量。 相反: 1. 将流量解封的 ERSPAN 目标配置为可以解封流量的交换机或路由器。 1. 将交换机或路由器配置为使用 SPAN 或 RSPAN 将解封的流量转发到 Defender for Identity 独立传感器。 |
注意
如果端口镜像的域控制器通过 WAN 链接进行连接,请确保 WAN 链路可以处理 ERSPAN 流量的额外负载。
Defender for Identity 仅在流量以相同方式到达 NIC 和域控制器时支持流量监视。 当流量分流到不同端口时,Defender for Identity 不支持流量监视。
支持的端口镜像选项
下表介绍了 Defender for Identity 对端口镜像配置的支持:
| Defender for Identity 独立传感器 | 域控制器 | 注意事项 |
|---|---|---|
| 虚拟 | 同一主机上的虚拟 | 虚拟交换机需要支持端口镜像。 将一个虚拟机单独移动到另一台主机可能会中断端口镜像。 |
| 虚拟 | 不同主机上的虚拟 | 请确保虚拟交换机支持此方案。 |
| 虚拟 | 物理的 | 需要专用网络适配器,否则 Defender for Identity 将看到传入和传出主机的所有流量,甚至是发送到 Defender for Identity 云服务的流量。 |
| 物理的 | 虚拟 | 确保虚拟交换机支持此方案 , 以及基于方案的物理交换机上的端口镜像配置: 如果虚拟主机位于同一物理交换机上,则需要配置交换机级别范围。 如果虚拟主机位于其他交换机上,则需要配置 RSPAN 或 ERSPAN*。 |
| 物理的 | 同一交换机上的物理 | 物理交换机必须支持 SPAN/端口镜像。 |
| 物理的 | 不同交换机上的物理 | 需要物理交换机才能支持 RSPAN 或 ERSPAN 仅当在 Defender for Identity 分析流量之前执行解包时,才支持 ERSPAN。 |
注意
域控制器和连接的 Defender for Identity 传感器上的时间必须在 5 分钟内同步到。
相关内容
有关更多信息,请参阅: