Konfigurace zrcadlení portů
Tento článek popisuje možnosti zrcadlení portů pro Microsoft Defender for Identity a je relevantní jenom pro samostatné senzory. Defender for Identity používá hlavně hloubkovou kontrolu paketů přes síťový provoz do a z řadičů domény. Pro samostatné senzory Defenderu for Identity, abyste viděli síťový provoz, musíte nakonfigurovat zrcadlení portů nebo použít network TAP. Zrcadlení portů kopíruje provoz z jednoho portu (zdrojového portu) do jiného portu (cílový port).
Při použití zrcadlení portů nakonfigurujte zrcadlení portů pro každý řadič domény, který monitorujete jako zdroj síťového provozu. Doporučujeme spolupracovat se síťovým nebo virtualizačním týmem na konfiguraci zrcadlení portů.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.
Volba metody zrcadlení portů
Řadiče domény a samostatný senzor Služby Defender for Identity můžou být fyzické nebo virtuální. Tady jsou běžné metody zrcadlení portů a některé aspekty. Další informace najdete v dokumentaci k produktu přepínače nebo virtualizačního serveru. Výrobce přepínače může používat jinou terminologii.
metoda | Popis |
---|---|
Switched Port Analyzer (SPAN) | Zkopíruje síťový provoz z jednoho nebo více portů přepínače na jiný port přepínače ve stejném přepínači. Samostatný senzor i řadiče domény v programu Defender for Identity musí být připojené ke stejnému fyzickému přepínači. |
Analyzátor portů vzdáleného přepínače (RSPAN) | Umožňuje monitorovat síťový provoz ze zdrojových portů distribuovaných přes několik fyzických přepínačů. RSPAN kopíruje zdrojový provoz do speciální sítě VLAN nakonfigurované na PLATFORMě RSPAN. Tato síť VLAN musí být zmenšována na ostatní zapojené přepínače. RSPAN pracuje ve společnosti Layer 2. |
Zapouzdřený analyzátor portů vzdáleného přepínače (ERSPAN) | Proprietární technologie Cisco pracující ve vrstvě 3. ERSPAN umožňuje monitorovat provoz mezi přepínači, aniž by bylo nutné používat kmeny sítě VLAN a ke kopírování monitorovaného síťového provozu používá obecné zapouzdření směrování (GRE). Defender for Identity momentálně nemůže přímo přijímat provoz ERSPAN. Místo toho: 1. Nakonfigurujte cíl ERSPAN, kde je provoz zapouzdřen jako přepínač nebo směrovač, který může zapouzdřit provoz. 1. Nakonfigurujte přepínač nebo směrovač tak, aby přesměrovaly odpojený provoz do samostatného senzoru Defenderu for Identity pomocí SPAN nebo RSPAN. |
Poznámka:
Pokud je řadič domény zrcadlený přes port připojený přes propojení WAN, ujistěte se, že propojení WAN dokáže zpracovat další zatížení provozu ERSPAN.
Defender for Identity podporuje monitorování provozu jenom v případě, že provoz dosáhne síťové karty a řadiče domény stejným způsobem. Defender for Identity nepodporuje monitorování provozu, když je provoz rozdělený na různé porty.
Podporované možnosti zrcadlení portů
Následující tabulka popisuje podporu defenderu for Identity pro konfigurace zrcadlení portů:
Samostatný senzor Defenderu for Identity | Řadič domény | Důležité informace |
---|---|---|
Virtuální | Virtuální na stejném hostiteli | Virtuální přepínač musí podporovat zrcadlení portů. Přesunutím jednoho z virtuálních počítačů do jiného hostitele může dojít k přerušení zrcadlení portů. |
Virtuální | Virtuální na různých hostitelích | Ujistěte se, že váš virtuální přepínač podporuje tento scénář. |
Virtuální | Fyzické | Vyžaduje vyhrazený síťový adaptér, jinak Defender for Identity vidí veškerý příchozí a odchozí provoz hostitele, a to i provoz, který odesílá do cloudové služby Defender for Identity. |
Fyzické | Virtuální | Ujistěte se, že virtuální přepínač podporuje tento scénář – a konfiguraci zrcadlení portů na fyzických přepínačích na základě scénáře: Pokud je virtuální hostitel na stejném fyzickém přepínači, musíte nakonfigurovat rozsah úrovně přepínače. Pokud je virtuální hostitel na jiném přepínači, musíte nakonfigurovat RSPAN nebo ERSPAN*. |
Fyzické | Fyzický na stejném přepínači | Fyzický přepínač musí podporovat ZRCADLENÍ PORTŮ/SPAN. |
Fyzické | Fyzický na jiném přepínači | Vyžaduje fyzické přepínače pro podporu SÍTĚ RSPAN nebo ERSPAN. ERSPAN se podporuje jenom v případě, že se decapsulation provádí před analýzou provozu službou Defender for Identity. |
Poznámka:
Čas na řadičích domény a připojený senzor defenderu pro identitu se musí synchronizovat do 5 minut od každého dalšího.
Související obsah
Další informace naleznete v tématu: