適用於身分識別的 Microsoft Defender 獨立感測器必要條件
本文列出部署 適用於身分識別的 Microsoft Defender 獨立感測器的必要條件,其與主要部署必要條件不同。
如需詳細資訊,請參閱規劃 適用於身分識別的 Microsoft Defender 部署的容量。
重要事項
適用於身分識別的 Defender 獨立感測器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,以提供多個偵測的數據。 如需環境的完整涵蓋範圍,建議您部署適用於身分識別的 Defender 感測器。
獨立感測器的額外系統需求
獨立感測器與適用於身分識別的Defender感測器 必要條件 不同,如下所示:
獨立感測器至少需要 5 GB 的磁碟空間
獨立感測器也可以安裝在工作組中的伺服器上。
獨立感測器可以支援監視多個域控制器,視域控制器的網路流量而定。
如果您使用 多個樹系,則必須允許獨立感測器機器使用LDAP與所有遠端樹系域控制器通訊。
如需搭配適用於身分識別的 Defender 獨立感測器使用虛擬機的相關信息,請參閱 設定埠鏡像。
獨立感測器的網路適配器
獨立感測器至少需要下列其中一個網路適配器:
管理配卡 - 用於公司網路上的通訊。 感測器會使用此配接器來查詢正在保護的DC,並執行電腦帳戶的解析。
使用靜態IP位址設定管理適配卡,包括預設閘道,以及慣用和替代 DNS 伺服器。
此連線的 DNS 後綴應該是每個受監視網域的網域 DNS 名稱。
注意事項
如果適用於身分識別的 Defender 獨立感測器是網域的成員,則可能會自動設定。
擷取配接器 - 用來擷取域控制器的流量。
重要事項
- 將擷取配接器的埠鏡像設定為域控制器網路流量的目的地。 一般而言,您需要與網路或虛擬化小組合作,以設定埠鏡像。
- 為您的環境設定靜態不可路由傳送IP位址 (/32 遮罩) ,且沒有預設感測器閘道和 DNS 伺服器位址。 例如:『10.10.0.10/32。 此設定可確保擷取網路適配器可以擷取最大流量,而且管理網路適配器可用來傳送和接收所需的網路流量。
注意事項
如果您在適用於身分識別的 Defender 獨立感測器上執行 Wireshark,請在停止 Wireshark 擷取之後,重新啟動適用於身分識別的 Defender 感測器服務。 如果您未重新啟動感測器服務,感測器會停止擷取流量。
如果您嘗試在使用 NIC 小組配接器設定的電腦上安裝適用於身分識別的 Defender 感測器,您會收到安裝錯誤。 如果您想要在已設定 NIC 小組的電腦上安裝適用於身分識別的 Defender 感測器,請參閱 適用於身分識別的 Defender 感測器 NIC 小組問題。
獨立感測器的埠
下表列出適用於身分識別的 Defender 獨立感測器需要在管理適配卡上設定的額外埠,以及適用於身分識別的 Defender 感測器所列的埠。
| Protocol (通訊協定) | 傳輸 | 連接埠 | 寄件者 | 收件者 |
|---|---|---|---|---|
| 內部埠 | ||||
| LDAP | TCP 和 UDP | 389 | 適用於身分識別的Defender感測器 | 網域控制站 |
| 保護LDAP (LDAPS) | TCP | 636 | 適用於身分識別的Defender感測器 | 網域控制站 |
| LDAP 至全域目錄 | TCP | 3268 | 適用於身分識別的Defender感測器 | 網域控制站 |
| LDAPS 至全域目錄 | TCP | 3269 | 適用於身分識別的Defender感測器 | 網域控制站 |
| Kerberos | TCP 和 UDP | 88 | 適用於身分識別的Defender感測器 | 網域控制站 |
| Windows 時間 | UDP | 123 | 適用於身分識別的Defender感測器 | 網域控制站 |
| Syslog (選擇性) | TCP/UDP | 514,視設定而定 | SIEM 伺服器 | 適用於身分識別的Defender感測器 |
Windows 事件記錄檔需求
適用於身分識別的 Defender 偵測依賴感測器從域控制器剖析的特定 Windows 事件記錄 檔。 若要稽核正確的事件並包含在 Windows 事件記錄檔中,您的域控制器需要正確的 Windows 進階審核策略設定。
如需詳細資訊,請參閱 Windows 檔中的 進階審核策略檢查 和 進階安全性稽 核原則。
若要確定服務會視需要 稽核 Windows 事件 8004 ,請檢閱 您的 NTLM 稽核設定。
對於在AD FS/AD CS 伺服器上執行的感測器,請將稽核層級設定為 詳細資訊。 如需詳細資訊,請參閱 AD FS 的事件稽核資訊 和 AD CS 的事件稽核資訊。