Planen der Kapazität für Microsoft Defender for Identity Bereitstellung

In diesem Leitfaden bestimmen Sie, welche Ressourcen Sie für Ihre Microsoft Defender for Identity-Sensoren benötigen.

Voraussetzungen

Verwenden des Tools zur Größenanpassung

Die empfohlene und einfachste Möglichkeit zum Ermitteln der Kapazität für Ihre Defender for Identity-Bereitstellung besteht darin, das Defender for Identity Sizing Tool zu verwenden. Mit diesem Tool können Sie manuell Informationen zum Datenverkehr erfassen. Weitere Informationen zur manuellen Methode finden Sie im Abschnitt Datenverkehrsschätzung für Domänencontroller am Ende dieses Artikels.

  1. Führen Sie das Defender for Identity Sizing Tool TriSizingTool.exeaus der heruntergeladenen ZIP-Datei aus.

  2. Öffnen Sie nach Abschluss der Toolausführung die Excel-Datei mit den Ergebnissen.

  3. Suchen Sie in der Excel-Datei das Blatt Azure ATP-Zusammenfassung , und wählen Sie es aus. Das zweite Blatt wird nicht benötigt, da es für die ATA-Planung vorgesehen ist. Beispieltool für die Kapazitätsplanung.

  4. Suchen Sie in der Excel-Ergebnisdatei in der Azure ATP-Sensortabelle nach dem Feld Busy Packets/sec (Aktive Pakete/s), und notieren Sie den Wert.

  5. Zuordnen Sie Ihr Feld "Gebuchte Pakete/Sekunde " mit dem Feld PACKETS PER SECOND im Abschnitt Defender for Identity-Sensortabelle dieses Artikels. Verwenden Sie die Felder, um die vom Sensor verwendeten Arbeitsspeicher- und CPU-Ressourcen zu bestimmen.

Hinweis

Um genaue Ergebnisse zu gewährleisten, führen Sie das Größenanpassungstool nur aus, bevor Sie Defender for Identity-Sensoren in Ihrer Umgebung installiert haben.

Größe des Defender for Identity-Sensors

Ein Defender for Identity-Sensor kann die Überwachung eines Domänencontrollers basierend auf der Menge des vom Domänencontroller generierten Netzwerkdatenverkehrs unterstützen. Die folgende Tabelle enthält Schätzungen. Die tatsächlich vom Sensor analysierte Menge ist abhängig vom Umfang des Datenverkehrs und dessen Verteilung.

Die folgende CPU- und RAM-Kapazität (Random Access Memory) bezieht sich auf den Verbrauch des Sensors selbst und nicht auf die Domänencontrollerkapazität.

Pakete pro Sekunde CPU (Kerne)* Arbeitsspeicher** (GB)
0 – 1.000 0,25 2,50
1\.000 – 5.000 0,75 6,00
5\.000 – 10.000 1,00 6,50
10.000 – 20.000 2,00 9,00
20.000 – 50.000 3,50 9,50
50.000 – 75.000 5.50 11,50
75.000 – 100.000 7,50 13.50

* Dies umfasst physische Kerne, keine Hyperthreadkerne.
** Arbeitsspeicher (RAM) bei zufälligem Zugriff

Beachten Sie bei der Größenanpassung Folgendes:

  • Gesamtanzahl der vom Sensordienst verwendeten Kerne
    Es wird empfohlen, nicht mit Hyperthreadingkernen zu arbeiten. Die Arbeit mit Hyperthreadkernen kann zu Integritätsproblemen des Defender for Identity-Sensors führen.
  • Gesamtarbeitsspeicher, der vom Sensordienst verwendet wird
  • Wenn der Domänencontroller nicht über die vom Defender for Identity-Sensor erforderlichen Ressourcen verfügt, wird die Domänencontrollerleistung nicht beeinträchtigt. Der Defender for Identity-Sensor funktioniert jedoch möglicherweise nicht wie erwartet.
  • Bei Ausführung als virtueller Computer muss der gesamte Arbeitsspeicher zu jedem Zeitpunkt dem virtuellen Computer zugewiesen sein.
  • Um eine optimale Leistung zu erzielen, legen Sie die Ein/Aus-Option des Defender for Identity-Sensors auf Hohe Leistung fest.
  • Es sind mindestens 2 Kerne erforderlich.
  • Mindestens 6 GB Festplattenspeicher sind erforderlich, 10 GB werden empfohlen, einschließlich speicherplatz für die Defender for Identity-Binärdateien und -protokolle.

Dynamischer Arbeitsspeicher

Hinweis

Bei Ausführung als virtueller Computer muss der gesamte Arbeitsspeicher zu jedem Zeitpunkt dem virtuellen Computer zugewiesen sein.

VM-Host Beschreibung
Hyper-V Stellen Sie sicher, dass dynamischen Arbeitsspeicher aktivieren für den virtuellen Computer nicht aktiviert ist.
VMware Stellen Sie sicher, dass die konfigurierte und die reservierte Arbeitsspeichermenge gleich sind, oder wählen Sie in den VM-Einstellungen die folgende Option aus: Gesamten Gastarbeitsspeicher reservieren (alle gesperrt) .
Anderer Virtualisierungshost Informieren Sie sich in der Dokumentation des Herstellers, wie Sie sicherstellen, dass der Arbeitsspeicher zu jedem Zeitpunkt vollständig dem virtuellen Computer zugewiesen ist.

Abschätzung des Datenverkehrs für Domänencontroller

Wenn Sie das Defender for Identity Sizing Tool aus irgendeinem Grund nicht verwenden können, sammeln Sie die Paket-/Sek.-Zählerinformationen von allen Domänencontrollern manuell. Sammeln Sie hierbei Daten über einen Zeitraum von 24 Stunden mit einem niedrigen Erfassungsintervall (etwa 5 Sekunden). Anschließend müssen Sie für jeden Domänencontroller den Tagesdurchschnitt und den Durchschnitt für die Zeitspanne (15 Minuten) mit der höchsten Auslastung berechnen. Die folgenden Abschnitte enthalten Anweisungen dazu, wie Sie Informationen zum Pakete/Sek.-Leistungsindikator für einen Domänencontroller sammeln.

Es gibt verschiedene Tools, die Sie verwenden können, um die durchschnittliche Anzahl der Pakete pro Sekunde eines Domänencontrollers zu ermitteln. Auch ohne den Einsatz solcher Werkzeuge können Sie diesen Leistungsindikator mit dem Systemmonitor ermitteln.

Um die Pakete pro Sekunde zu ermitteln, gehen Sie auf jedem Domänencontroller wie folgt vor:

  1. Öffnen Sie den Systemmonitor.

    Image des Leistungsmonitors.

  2. Erweitern Sie Datensammlersätze.

    Datensammler legt das Image fest.

  3. Klicken Sie mit der rechten Maustaste auf Benutzerdefiniert , und wählen Sie Neuer>Datensammlersatz aus.

    Neues Datensammlersatzimage.

  4. Geben Sie einen Namen für den Sammlersatz ein, und wählen Sie Manuell erstellen (Erweitert) aus.

  5. Wählen Sie unter Welche Art von Daten möchten Sie einschließen?die Option Datenprotokolle erstellen und Leistungsindikator aus.

    Datentyp für neues Datensammlersatzimage.

  6. Wählen Sie unter Welche Leistungsindikatoren Sie protokollieren möchten die Option Hinzufügen aus.

  7. Erweitern Sie Netzwerkadapter, wählen Sie Pakete/Sek. aus, und wählen Sie die richtige Instanz aus. Wenn Sie nicht sicher sind, können Sie Alle Instanzen> und Hinzufügen und OK auswählen<.

    Hinweis

    Um diesen Vorgang auf einer Befehlszeile auszuführen, führen Sie ipconfig /all aus, um den Namen des Adapters und die Konfiguration zu ermitteln.

    Fügen Sie das Image der Leistungsindikatoren hinzu.

  8. Ändern Sie das Stichprobenintervall auf 5 Sekunden.

  9. Legen Sie den Speicherort fest, an dem die Daten gespeichert werden sollen.

  10. Wählen Sie unter Erstellen des Datensammlersatzes die Option Diesen Datensammlersatz jetzt starten und dann Fertig stellen aus.

    Jetzt sollte der erstellte Datensammlersatz mit einem grünen Dreieck als Zeichen der Funktion dargestellt werden.

  11. Beenden Sie nach 24 Stunden den Datensammlersatz, indem Sie mit der rechten Maustaste auf das zugehörige Symbol klicken und die Option Beenden auswählen.

    Beenden Sie das Image des Datensammlersatzes.

  12. Wechseln Sie im Datei-Explorer zu dem Ordner, in dem die BLG-Datei gespeichert wurde, und doppelklicken Sie darauf, um sie im Systemmonitor zu öffnen.

  13. Wählen Sie den Leistungsindikator für Pakete/Sekunde aus, und notieren Sie die durchschnittlichen und maximalen Werte.

    Zählerbild

Hinweis

Standardmäßig unterstützt Defender for Identity bis zu 350 Sensoren. Wenn Sie weitere Sensoren installieren möchten, wenden Sie sich an den Defender for Identity-Support.

Nächste Schritte