Požadavky na samostatný senzor v programu Microsoft Defender for Identity
Tento článek uvádí požadavky pro nasazení samostatného senzoru Microsoft Defenderu for Identity, kde se liší od požadavků hlavního nasazení.
Další informace najdete v tématu Plánování kapacity pro nasazení Microsoft Defenderu for Identity.
Důležité
Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu Trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor defenderu pro identitu.
Dodatečné požadavky na systém pro samostatné senzory
Samostatné senzory se liší od požadavků senzoru identity v Defenderu následujícím způsobem:
Samostatné senzory vyžadují minimálně 5 GB místa na disku.
Samostatné senzory lze také nainstalovat na servery, které jsou v pracovní skupině.
Samostatné senzory můžou podporovat monitorování více řadičů domény v závislosti na množství síťového provozu do a z řadičů domény.
Pokud pracujete s několika doménovými strukturami, musí mít vaše samostatné senzorové počítače povoleno komunikovat se všemi vzdálenými řadiči domény doménové struktury pomocí protokolu LDAP.
Informace o používání virtuálních počítačů se samostatným senzorem Defenderu pro identitu najdete v tématu Konfigurace zrcadlení portů.
Síťové adaptéry pro samostatné senzory
Samostatné senzory vyžadují alespoň jeden z následujících síťových adaptérů:
Adaptéry pro správu – slouží ke komunikaci v podnikové síti. Senzor používá tento adaptér k dotazování řadiče domény, který chrání a provádí překlad účtů počítačů.
Nakonfigurujte adaptéry pro správu se statickými IP adresami, včetně výchozí brány a upřednostňovaných a alternativních serverů DNS.
Přípona DNS pro toto připojení by měla být název DNS domény pro každou monitorovanou doménu.
Poznámka:
Pokud je samostatný senzor Defenderu for Identity členem domény, může se nakonfigurovat automaticky.
Adaptér pro zachytávání – slouží k zachytávání provozu do a z řadičů domény.
Důležité
- Nakonfigurujte zrcadlení portů pro adaptér pro zachytávání jako cíl síťového provozu řadiče domény. Při konfiguraci zrcadlení portů obvykle potřebujete spolupracovat se síťovým týmem nebo týmem virtualizace.
- Nakonfigurujte statickou nesměrovatelnou IP adresu (s maskou /32) pro vaše prostředí bez výchozí brány senzoru a žádné adresy serveru DNS. Příklad: 10.10.0.10/32. Tato konfigurace zajišťuje, aby síťový adaptér pro zachytávání zachytával maximální objem provozu a aby se síťový adaptér pro správu používal k odesílání a příjmu požadovaného síťového provozu.
Poznámka:
Pokud spustíte Wireshark na samostatném senzoru Defenderu pro identitu, restartujte po zastavení zachytávání Wireshark službu Defender for Identity Sensor Service. Pokud službu senzoru nerestartujete, přestane senzor zachytávat provoz.
Pokud se pokusíte nainstalovat senzor defenderu pro identitu na počítač nakonfigurovaný s adaptérem seskupování síťových adaptérů, zobrazí se chyba instalace. Pokud chcete nainstalovat senzor defenderu pro identitu na počítač nakonfigurovaný seskupováním síťových adaptérů, přečtěte si článek o problému se seskupováním síťových adaptérů v programu Defender for Identity.
Porty pro samostatné senzory
V následující tabulce jsou uvedeny další porty, které samostatný senzor Defenderu for Identity vyžaduje, aby byl na adaptéru pro správu nakonfigurovaný kromě portů uvedených pro senzor identity Defender for Identity.
| Protokol | Přeprava | Přístav | Z verze | Komu |
|---|---|---|---|---|
| Interní porty | ||||
| LDAP | TCP a UDP | 389 | Senzor služby Defender for Identity | Řadiče domény |
| Secure LDAP (LDAPS) | TCP | 636 | Senzor služby Defender for Identity | Řadiče domény |
| LDAP do globálního katalogu | TCP | 3 268 | Senzor služby Defender for Identity | Řadiče domény |
| LDAPS do globálního katalogu | TCP | 3269 | Senzor služby Defender for Identity | Řadiče domény |
| Kerberos | TCP a UDP | 88 | Senzor služby Defender for Identity | Řadiče domény |
| Čas ve Windows | UDP | 123 | Senzor služby Defender for Identity | Řadiče domény |
| Syslog (volitelné) | TCP/UDP | 514 v závislosti na konfiguraci | SIEM Server | Senzor služby Defender for Identity |
Požadavky protokolu událostí Windows
Detekce identity v programu Defender for Identity spoléhá na konkrétní protokoly událostí Windows, které senzor analyzuje z řadičů domény. Aby bylo možné auditovat a zahrnout správné události do protokolu událostí systému Windows, vyžadují řadiče domény přesné nastavení zásad rozšířeného auditu systému Windows.
Další informace najdete v tématu Rozšířená kontrola zásad auditu a Rozšířené zásady auditu zabezpečení v dokumentaci k Systému Windows.
Pokud chcete zajistit, aby služba auditovala událost Systému Windows 8004 podle potřeby, zkontrolujte nastavení auditu NTLM.
U senzorů spuštěných na serverech AD FS nebo AD CS nakonfigurujte úroveň auditování na podrobné úrovni. Další informace najdete v tématu Informace o auditování událostí pro službu AD FS a auditování událostí pro službu AD CS.