Microsoft Defender for Identity المتطلبات الأساسية للمستشعر المستقل
تسرد هذه المقالة المتطلبات الأساسية لتوزيع مستشعر مستقل Microsoft Defender for Identity حيث تختلف عن متطلبات التوزيع الأساسية.
لمزيد من المعلومات، راجع تخطيط السعة لتوزيع Microsoft Defender for Identity.
هام
لا تدعم أدوات استشعار Defender for Identity المستقلة مجموعة إدخالات سجل تتبع الأحداث ل Windows (ETW) التي توفر البيانات لاكتشافات متعددة. للتغطية الكاملة لبيئتك، نوصي بنشر مستشعر Defender for Identity.
متطلبات النظام الإضافية لأجهزة الاستشعار المستقلة
تختلف أدوات الاستشعار المستقلة عن متطلبات مستشعر Defender for Identity كما يلي:
تتطلب أجهزة الاستشعار المستقلة ما لا يقل عن 5 غيغابايت من مساحة القرص
يمكن أيضا تثبيت أدوات الاستشعار المستقلة على الخوادم الموجودة في مجموعة عمل.
يمكن أن تدعم أجهزة الاستشعار المستقلة مراقبة وحدات تحكم مجال متعددة، اعتمادا على مقدار نسبة استخدام الشبكة من وإلى وحدات التحكم بالمجال.
إذا كنت تعمل مع غابات متعددة، يجب السماح لأجهزة الاستشعار المستقلة بالاتصال بجميع وحدات التحكم بمجال الغابة البعيدة باستخدام LDAP.
للحصول على معلومات حول استخدام الأجهزة الظاهرية مع أداة استشعار Defender for Identity المستقلة، راجع تكوين النسخ المتطابق للمنفذ.
محولات الشبكة لأجهزة الاستشعار المستقلة
تتطلب أجهزة الاستشعار المستقلة واحدا على الأقل من كل محول من محولات الشبكة التالية:
محولات الإدارة - تستخدم للاتصالات على شبكة شركتك. يستخدم المستشعر هذا المحول للاستعلام عن DC الذي يحمي وينفذ الدقة لحسابات الجهاز.
تكوين محولات الإدارة باستخدام عناوين IP ثابتة، بما في ذلك بوابة افتراضية، وخوادم DNS المفضلة والمناوبة.
يجب أن تكون لاحقة DNS لهذا الاتصال هي اسم DNS للمجال لكل مجال تتم مراقبته.
ملاحظة
إذا كان مستشعر Defender for Identity المستقل عضوا في المجال، فقد يتم تكوين هذا تلقائيا.
التقاط المحول - يستخدم لالتقاط نسبة استخدام الشبكة من وإلى وحدات التحكم بالمجال.
هام
- تكوين النسخ المتطابق للمنفذ لمحول الالتقاط كوجهة لنسبة استخدام شبكة وحدة التحكم بالمجال. عادة ما تحتاج إلى العمل مع فريق الشبكات أو الظاهرية لتكوين النسخ المتطابق للمنفذ.
- قم بتكوين عنوان IP ثابت غير قابل للتوجيه (مع قناع /32) لبيئتك بدون بوابة أداة استشعار افتراضية ولا عناوين خادم DNS. على سبيل المثال: '10.10.0.10/32. يضمن هذا التكوين أن محول شبكة الالتقاط يمكنه التقاط الحد الأقصى لمقدار نسبة استخدام الشبكة واستخدام محول شبكة الإدارة لإرسال نسبة استخدام الشبكة المطلوبة وتلقيها.
ملاحظة
إذا قمت بتشغيل Wireshark على مستشعر Defender for Identity المستقل، فقم بإعادة تشغيل خدمة أداة استشعار Defender for Identity بعد إيقاف التقاط Wireshark. إذا لم تقم بإعادة تشغيل خدمة الاستشعار، يتوقف المستشعر عن التقاط نسبة استخدام الشبكة.
إذا حاولت تثبيت مستشعر Defender for Identity على جهاز تم تكوينه باستخدام محول NIC Teaming، فستتلقى خطأ في التثبيت. إذا كنت ترغب في تثبيت مستشعر Defender for Identity على جهاز تم تكوينه باستخدام فريق NIC، فشاهد مشكلة فريق Defender for Identity sensor NIC.
منافذ أجهزة الاستشعار المستقلة
يسرد الجدول التالي المنافذ الإضافية التي يتطلبها مستشعر Defender for Identity المستقل الذي تم تكوينه على محول الإدارة، بالإضافة إلى المنافذ المدرجة لمستشعر Defender for Identity.
بروتوكول | نقل | ميناء | من | ل |
---|---|---|---|---|
المنافذ الداخلية | ||||
LDAP | TCP وUDP | 389 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
LDAP الآمن (LDAPS) | TCP | 636 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
LDAP إلى الكتالوج العمومي | TCP | 3268 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
LDAPS إلى الكتالوج العمومي | TCP | 3269 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
Kerberos | TCP وUDP | 88 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
وقت Windows | UDP | 123 | مستشعر Defender for Identity | وحدات التحكم بالمجال |
Syslog (اختياري) | TCP/UDP | 514، اعتمادا على التكوين | خادم SIEM | مستشعر Defender for Identity |
متطلبات سجل أحداث Windows
يعتمد الكشف عن Defender for Identity على سجلات أحداث Windows محددة يقوم المستشعر بتحليلها من وحدات التحكم بالمجال. لكي يتم تدقيق الأحداث الصحيحة وتضمينها في سجل أحداث Windows، تتطلب وحدات التحكم بالمجال إعدادات دقيقة لنهج التدقيق المتقدم ل Windows.
لمزيد من المعلومات، راجع التحقق من نهج التدقيق المتقدمونهج تدقيق الأمان المتقدمة في وثائق Windows.
للتأكد من تدقيق Windows Event 8004 حسب الحاجة من قبل الخدمة، راجع إعدادات تدقيق NTLM.
بالنسبة لأجهزة الاستشعار التي تعمل على خوادم AD FS / AD CS، قم بتكوين مستوى التدقيق إلى مطول. لمزيد من المعلومات، راجع معلومات تدقيق الأحداث ل AD FSومعلومات تدقيق الأحداث ل AD CS.