Microsoft Defender for Identity独立传感器先决条件

本文列出了部署Microsoft Defender for Identity独立传感器的先决条件，这些先决条件与main部署先决条件不同。

重要

Defender for Identity 独立传感器不支持收集 Windows (ETW 事件跟踪) 日志条目，这些日志条目为多个检测提供数据。为了全面覆盖环境，建议部署 Defender for Identity 传感器。

独立传感器的额外系统要求

独立传感器不同于 Defender for Identity 传感器先决条件，如下所示：

有关将虚拟机与 Defender for Identity 独立传感器配合使用的信息，请参阅配置端口镜像。

独立传感器至少需要以下每个网络适配器中的一个：

管理适配器 - 用于企业网络上的通信。传感器使用此适配器来查询它正在保护的 DC，并执行对计算机帐户的解析。

使用静态 IP 地址配置管理适配器，包括默认网关以及首选和备用 DNS 服务器。

此连接的 DNS 后缀应是所监视的每个域的 DNS 名称。

注意

如果 Defender for Identity 独立传感器是域的成员，则可能会自动配置。
捕获适配器 - 用于捕获传入和传出域控制器的流量。
重要
- 将捕获适配器的端口镜像配置为域控制器网络流量的目标。通常，需要与网络或虚拟化团队合作来配置端口镜像。
- 使用 /32 掩码) 为环境配置静态不可路由 IP 地址 (，该地址没有默认传感器网关，也没有 DNS 服务器地址。例如：'10.10.0.10/32。此配置可确保捕获网络适配器可以捕获最大流量，并且管理网络适配器用于发送和接收所需的网络流量。

注意

如果在 Defender for Identity 独立传感器上运行 Wireshark，请在停止 Wireshark 捕获后重启 Defender for Identity 传感器服务。如果不重启传感器服务，传感器将停止捕获流量。

如果尝试在配置了 NIC 组合适配器的计算机上安装 Defender for Identity 传感器，则会收到安装错误。如果要在配置了 NIC 组合的计算机上安装 Defender for Identity 传感器，请参阅 Defender for Identity 传感器 NIC 组合问题。

下表列出了 Defender for Identity 独立传感器需要在管理适配器上配置的额外端口，以及为 Defender for Identity 传感器列出的端口。

协议	Transport	端口	From	To
内部端口
LDAP	TCP 和 UDP	389	Defender for Identity 传感器	域控制器
安全 LDAP (LDAPS)	TCP	636	Defender for Identity 传感器	域控制器
LDAP 到全局编录	TCP	3268	Defender for Identity 传感器	域控制器
LDAPS 到全局编录	TCP	3269	Defender for Identity 传感器	域控制器
Kerberos	TCP 和 UDP	88	Defender for Identity 传感器	域控制器
Windows 时间配置	UDP	123	Defender for Identity 传感器	域控制器
Syslog (可选)	TCP/UDP	514，具体取决于配置	SIEM 服务器	Defender for Identity 传感器

Defender for Identity 检测依赖于传感器从域控制器分析的特定 Windows 事件日志。若要审核并包含在 Windows 事件日志中的正确事件，域控制器需要准确的 Windows 高级审核策略设置。

有关详细信息，请参阅 Windows 文档中的高级审核策略检查和高级安全审核策略。

若要确保服务根据需要审核 Windows 事件 8004 ，请查看 NTLM 审核设置。
对于在 AD FS/AD CS 服务器上运行的传感器，请将审核级别配置为 “详细”。有关详细信息，请参阅 AD FS 的事件审核信息和 AD CS 的事件审核信息。