Voraussetzungen für eigenständige Microsoft Defender for Identity-Sensoren
In diesem Artikel werden die Voraussetzungen für die Bereitstellung eines eigenständigen Microsoft Defender for Identity-Sensors aufgeführt, bei denen sie sich von den Standard Bereitstellungsvoraussetzungen unterscheiden.
Weitere Informationen finden Sie unter Planen der Kapazität für die Bereitstellung von Microsoft Defender for Identity.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
Zusätzliche Systemanforderungen für eigenständige Sensoren
Eigenständige Sensoren unterscheiden sich von den Voraussetzungen des Defender for Identity-Sensors wie folgt:
Eigenständige Sensoren erfordern mindestens 5 GB Speicherplatz
Eigenständige Sensoren können auch auf Servern installiert werden, die sich in einer Arbeitsgruppe befinden.
Ein eigenständiger Defender for Identity-Sensor kann die Überwachung von mehreren Domänencontrollern unterstützen, abhängig vom Umfang des Datenverkehrs zwischen den Domänencontrollern.
Wenn Sie mit mehreren Gesamtstrukturen arbeiten, müssen Ihre eigenständigen Sensorcomputer mit allen Remote-Gesamtstrukturen kommunizieren dürfen Standard Controller, die LDAP verwenden.
Informationen zur Verwendung von virtuellen Computern mit dem eigenständigen Defender for Identity-Sensor finden Sie unter Konfigurieren der Portspiegelung.
Netzwerkadapter für eigenständige Sensoren
Eigenständige Sensoren erfordern mindestens einen der folgenden Netzwerkadapter:
Verwaltungsadapter – für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Der Sensor verwendet diesen Adapter, um den DC abzufragen, der schutz und die Auflösung für Computerkonten ausführt.
Konfigurieren Sie Verwaltungsadapter mit statischen IP-Adressen, einschließlich eines Standardgateways und bevorzugter und alternativer DNS-Server.
Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Do Standard für jede do Standard überwacht werden.
Hinweis
Wenn der eigenständige Defender for Identity-Sensor Mitglied der Domäne ist, erfolgt diese Konfiguration möglicherweise automatisch.
Aufnahmeadapter – wird verwendet, um Datenverkehr zu und von den Do Standard-Controllern zu erfassen.
Wichtig
- Konfigurieren Sie port Spiegel ing für den Aufnahmeadapter als Ziel des Standard Controller-Netzwerkdatenverkehrs. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um portieren Spiegel ing zu konfigurieren.
- Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse (mit /32-Mask) für Ihre Umgebung ohne Standardsensorgateway und keine DNS-Serveradressen. Zum Beispiel: `10.10.0.10/32. Diese Konfiguration stellt sicher, dass der Aufnahmenetzwerkadapter die maximale Datenverkehrsmenge erfassen kann und dass der Verwaltungsnetzwerkadapter verwendet wird, um den erforderlichen Netzwerkdatenverkehr zu senden und zu empfangen.
Hinweis
Wenn Sie Wireshark auf dem eigenständigen Defender for Identity-Sensor ausführen, starten Sie den Defender for Identity-Sensordienst neu, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn Sie den Sensordienst nicht neu starten, stoppt der Sensor die Erfassung des Datenverkehrs.
Wenn Sie versuchen, den Defender for Identity-Sensor auf einem Computer zu installieren, der mit einem NIC-Teaming-Adapter konfiguriert ist, wird ein Installationsfehler gemeldet. Wenn Sie den Defender for Identity-Sensor auf einem Computer installieren möchten, der mit NIC-Teaming konfiguriert ist, finden Sie weitere Informationen unter Defender for Identity sensor NIC teaming issue (Problem mit NIC-Teaming von Defender for Identity-Sensoren).
Ports für eigenständige Sensoren
In der folgenden Tabelle sind die zusätzlichen Ports aufgeführt, die für den eigenständigen Defender for Identity-Sensor auf dem Verwaltungsadapter konfiguriert werden müssen, zusätzlich zu den für den Defender for Identity-Sensor aufgeführten Ports.
| Protokoll | Transport | Port | Von | Beschreibung |
|---|---|---|---|---|
| Interner Port | ||||
| LDAP | TCP und UDP | 389 | Defender for Identity-Sensor | Domänencontroller |
| Sicheres LDAP (LDAPS) | TCP | 636 | Defender for Identity-Sensor | Domänencontroller |
| LDAP zum globalen Katalog | TCP | 3268 | Defender for Identity-Sensor | Domänencontroller |
| LDAPS zum globalen Katalog | TCP | 3269 | Defender for Identity-Sensor | Domänencontroller |
| Kerberos | TCP und UDP | 88 | Defender for Identity-Sensor | Domänencontroller |
| Windows-Zeitdienst | UDP | 123 | Defender for Identity-Sensor | Domänencontroller |
| Syslog (optional) | TCP/UDP | 514, je nach Konfiguration | SIEM Server | Defender for Identity-Sensor |
Windows-Ereignisprotokollanforderungen
Die Defender for Identity-Erkennung basiert auf den bestimmten Windows-Ereignisprotokollen, die der Sensor von Ihren Domänencontrollern aus analysiert. Damit die richtigen Ereignisse geprüft und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Domänencontroller genaue Einstellungen für die erweiterte Prüfungsrichtlinie.
Weitere Informationen finden Sie unter Erweiterte Überwachungsrichtlinienüberprüfung und Erweiterte Sicherheitsüberwachungsrichtlinien in der Windows-Dokumentation.
Überprüfen Sie die NTLM-Überwachungseinstellungen, um sicherzustellen, dass Windows-Ereignis 8004 nach Bedarf vom Dienst überwacht wird.
Konfigurieren Sie für Sensoren, die auf AD FS/AD CS-Servern ausgeführt werden, die Überwachungsstufe auf ausführlich. Weitere Informationen finden Sie unter Ereignisüberwachungsinformationen für AD FS und Ereignisüberwachungsinformationen für AD CS.