Microsoft Defender for Identity المتطلبات الأساسية للمستشعر المستقل

تسرد هذه المقالة المتطلبات الأساسية لتوزيع مستشعر مستقل Microsoft Defender for Identity حيث تختلف عن متطلبات التوزيع الأساسية.

لمزيد من المعلومات، راجع تخطيط السعة لتوزيع Microsoft Defender for Identity.

هام

لا تدعم أدوات استشعار Defender for Identity المستقلة مجموعة إدخالات سجل تتبع الأحداث ل Windows (ETW) التي توفر البيانات لاكتشافات متعددة. للتغطية الكاملة لبيئتك، نوصي بنشر مستشعر Defender for Identity.

متطلبات النظام الإضافية لأجهزة الاستشعار المستقلة

تختلف أدوات الاستشعار المستقلة عن متطلبات مستشعر Defender for Identity كما يلي:

  • تتطلب أجهزة الاستشعار المستقلة ما لا يقل عن 5 غيغابايت من مساحة القرص

  • يمكن أيضا تثبيت أدوات الاستشعار المستقلة على الخوادم الموجودة في مجموعة عمل.

  • يمكن أن تدعم أجهزة الاستشعار المستقلة مراقبة وحدات تحكم مجال متعددة، اعتمادا على مقدار نسبة استخدام الشبكة من وإلى وحدات التحكم بالمجال.

  • إذا كنت تعمل مع غابات متعددة، يجب السماح لأجهزة الاستشعار المستقلة بالاتصال بجميع وحدات التحكم بمجال الغابة البعيدة باستخدام LDAP.

للحصول على معلومات حول استخدام الأجهزة الظاهرية مع أداة استشعار Defender for Identity المستقلة، راجع تكوين النسخ المتطابق للمنفذ.

محولات الشبكة لأجهزة الاستشعار المستقلة

تتطلب أجهزة الاستشعار المستقلة واحدا على الأقل من كل محول من محولات الشبكة التالية:

  • محولات الإدارة - تستخدم للاتصالات على شبكة شركتك. يستخدم المستشعر هذا المحول للاستعلام عن DC الذي يحمي وينفذ الدقة لحسابات الجهاز.

    تكوين محولات الإدارة باستخدام عناوين IP ثابتة، بما في ذلك بوابة افتراضية، وخوادم DNS المفضلة والمناوبة.

    يجب أن تكون لاحقة DNS لهذا الاتصال هي اسم DNS للمجال لكل مجال تتم مراقبته.

    ملاحظة

    إذا كان مستشعر Defender for Identity المستقل عضوا في المجال، فقد يتم تكوين هذا تلقائيا.

  • التقاط المحول - يستخدم لالتقاط نسبة استخدام الشبكة من وإلى وحدات التحكم بالمجال.

    هام

    • تكوين النسخ المتطابق للمنفذ لمحول الالتقاط كوجهة لنسبة استخدام شبكة وحدة التحكم بالمجال. عادة ما تحتاج إلى العمل مع فريق الشبكات أو الظاهرية لتكوين النسخ المتطابق للمنفذ.
    • قم بتكوين عنوان IP ثابت غير قابل للتوجيه (مع قناع /32) لبيئتك بدون بوابة أداة استشعار افتراضية ولا عناوين خادم DNS. على سبيل المثال: '10.10.0.10/32. يضمن هذا التكوين أن محول شبكة الالتقاط يمكنه التقاط الحد الأقصى لمقدار نسبة استخدام الشبكة واستخدام محول شبكة الإدارة لإرسال نسبة استخدام الشبكة المطلوبة وتلقيها.

ملاحظة

إذا قمت بتشغيل Wireshark على مستشعر Defender for Identity المستقل، فقم بإعادة تشغيل خدمة أداة استشعار Defender for Identity بعد إيقاف التقاط Wireshark. إذا لم تقم بإعادة تشغيل خدمة الاستشعار، يتوقف المستشعر عن التقاط نسبة استخدام الشبكة.

إذا حاولت تثبيت مستشعر Defender for Identity على جهاز تم تكوينه باستخدام محول NIC Teaming، فستتلقى خطأ في التثبيت. إذا كنت ترغب في تثبيت مستشعر Defender for Identity على جهاز تم تكوينه باستخدام فريق NIC، فشاهد مشكلة فريق Defender for Identity sensor NIC.

منافذ أجهزة الاستشعار المستقلة

يسرد الجدول التالي المنافذ الإضافية التي يتطلبها مستشعر Defender for Identity المستقل الذي تم تكوينه على محول الإدارة، بالإضافة إلى المنافذ المدرجة لمستشعر Defender for Identity.

بروتوكول نقل ميناء من ل
المنافذ الداخلية
LDAP TCP وUDP 389 مستشعر Defender for Identity وحدات التحكم بالمجال
LDAP الآمن (LDAPS) TCP 636 مستشعر Defender for Identity وحدات التحكم بالمجال
LDAP إلى الكتالوج العمومي TCP 3268 مستشعر Defender for Identity وحدات التحكم بالمجال
LDAPS إلى الكتالوج العمومي TCP 3269 مستشعر Defender for Identity وحدات التحكم بالمجال
Kerberos TCP وUDP 88 مستشعر Defender for Identity وحدات التحكم بالمجال
وقت Windows UDP 123 مستشعر Defender for Identity وحدات التحكم بالمجال
Syslog (اختياري) TCP/UDP 514، اعتمادا على التكوين خادم SIEM مستشعر Defender for Identity

متطلبات سجل أحداث Windows

يعتمد الكشف عن Defender for Identity على سجلات أحداث Windows محددة يقوم المستشعر بتحليلها من وحدات التحكم بالمجال. لكي يتم تدقيق الأحداث الصحيحة وتضمينها في سجل أحداث Windows، تتطلب وحدات التحكم بالمجال إعدادات دقيقة لنهج التدقيق المتقدم ل Windows.

لمزيد من المعلومات، راجع التحقق من نهج التدقيق المتقدمونهج تدقيق الأمان المتقدمة في وثائق Windows.

الخطوات التالية