設定埠鏡像
本文說明 適用於身分識別的 Microsoft Defender 的埠鏡像選項,且僅與獨立感測器相關。 適用於身分識別的 Defender 主要會對您域控制器的網路流量使用深層封包檢查。 若要讓適用於身分識別的 Defender 獨立感測器查看網路流量,您必須設定埠鏡像,或使用網路 TAP。 埠鏡像會將流量從來源埠) (一個埠複製到目的地埠) (另一個埠。
使用埠鏡像時,請為您要監視的每個域控制器設定埠鏡像,作為網路流量的來源。 建議您與您的網路或虛擬化小組合作,以設定埠鏡像。
重要事項
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,以提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
選擇埠鏡像方法
您的域控制器和適用於身分識別的Defender獨立感測器可以是實體或虛擬。 以下是埠鏡像的常見方法和一些考慮。 如需詳細資訊,請參閱您的交換器或虛擬化伺服器產品檔。 您的交換器製造商可能會使用不同的術語。
| 方法 | 描述 |
|---|---|
| 已切換埠分析器 (SPAN) | 將網路流量從一或多個交換器埠複製到相同交換器上的另一個交換器埠。 適用於身分識別的 Defender 獨立感測器和域控制器都必須連線到相同的實體交換器。 |
| 遠端交換器埠分析器 (RSPAN) | 可讓您監視透過多個實體交換器散發之來源埠的網路流量。 RSPAN 會將來源流量複製到設定的特殊 RSPAN VLAN。 此 VLAN 必須主幹到其他相關的交換器。 RSPAN 適用於第 2 層。 |
| 封裝遠端交換器埠分析器 (ERSPAN) | 在第 3 層運作的 Cisco 專屬技術。 ERSPAN 可讓您監視跨交換器的流量,而不需要 VLAN 主幹,並使用一般路由封裝 (GRE) 來複製受監視的網路流量。 適用於身分識別的 Defender 目前無法直接接收 ERSPAN 流量。 相反: 1.設定 ERSPAN 目的地,將流量解封為可將流量解封的交換器或路由器。 1. 設定交換器或路由器,使用 SPAN 或 RSPAN 將已解除封裝的流量轉送到適用於身分識別的 Defender 獨立感測器。 |
注意事項
如果埠鏡像的域控制器透過WAN 連結連線,請確定WAN連結可以處理 ERSPAN 流量的額外負載。
適用於身分識別的Defender只支援流量以相同方式到達NIC和域控制器時的流量監視。 當流量中斷至不同的埠時,適用於身分識別的Defender不支援流量監視。
支援的埠鏡像選項
下表描述適用於身分識別的Defender對埠鏡像設定的支援:
| 適用於身分識別的 Defender 獨立感測器 | 網域控制站 | 考量 |
|---|---|---|
| 虛擬 | 相同主機上的虛擬 | 虛擬交換器需要支援埠鏡像。 將其中一部虛擬機單獨移至另一部主機可能會中斷埠鏡像。 |
| 虛擬 | 不同主機上的虛擬 | 請確定您的虛擬交換器支援此案例。 |
| 虛擬 | 物理的 | 需要專用的網路適配器,否則適用於身分識別的Defender會看到進出主機的所有流量,甚至是傳送至適用於身分識別的Defender雲端服務的流量。 |
| 物理的 | 虛擬 | 請確定您的虛擬交換器支援此案例,並根據案例在實體交換器上進行埠鏡像設定: 如果虛擬主機位於相同的實體交換器上,您必須設定交換器層級範圍。 如果虛擬主機位於不同的交換器上,您必須設定 RSPAN 或 ERSPAN*。 |
| 物理的 | 相同交換器上的實體 | 實體交換器必須支援SPAN/埠鏡像。 |
| 物理的 | 不同交換器上的實體 | 需要實體參數以支援 RSPAN 或 ERSPAN 只有在適用於身分識別的 Defender 分析流量之前執行中斷作業時,才支援 ERSPAN。 |
注意事項
您域控制器和已連線的適用於身分識別的 Defender 感測器上的時間,必須在 5 分鐘內同步處理到每一個時間的 5 分鐘內。
相關內容
如需詳細資訊,請參閱: