Überprüfen der Portspiegelung

Dieser Artikel ist nur relevant, wenn Sie Microsoft Defender for Identity eigenständigen Sensor anstelle von Defender for Identity Sensor bereitstellen.

Hinweis

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.

Die folgenden Schritte führen Sie durch das Verfahren, mit dem Sie die ordnungsgemäße Konfiguration der Portspiegelung überprüfen. Damit Defender for Identity ordnungsgemäß funktioniert, muss der eigenständige Defender for Identity-Sensor in der Lage sein, den Datenverkehr zu und vom Domänencontroller anzuzeigen. Die von Defender for Identity verwendete Hauptdatenquelle ist eine umfassende Paketüberprüfung des Netzwerkdatenverkehrs an und von Ihren Domänencontrollern. Damit Defender for Identity den Netzwerkdatenverkehr sehen kann, muss die Portspiegelung konfiguriert werden. Die Portspiegelung kopiert den Datenverkehr von einem Port (dem Quellport) zu einem anderen Port (dem Zielport).

Überprüfen der Portspiegelung mithilfe des Netzwerkmonitors

  1. Installieren Sie Microsoft Network Monitor 3.4 auf dem eigenständigen Defender for Identity-Sensor, den Sie überprüfen möchten.

    Wichtig

    Wenn Sie "Wireshark" installieren möchten, um die Portspiegelung zu überprüfen, starten Sie den eigenständigen Defender for Identity-Sensordienst nach der Überprüfung neu.

  2. Öffnen Sie Netzwerkmonitor, und erstellen Sie eine neue Registerkarte für die Erfassung.

    1. Wählen Sie nur den Netzwerkadapter Erfassung oder den Netzwerkadapter aus, der mit dem als Ziel der Portspiegelung konfigurierten Switchport verbunden ist.

    2. Stellen Sie sicher, dass „P-Modus“ aktiviert ist.

    3. Wählen Sie "Neue Aufnahme" aus.

      Abbildung zum Erstellen einer neuen Registerkarte für die Erfassung.

  3. Geben Sie im Fenster "Anzeigefilter" den folgenden Filter ein: KerberosV5 ODER LDAP , und wählen Sie dann "Übernehmen" aus.

    Abbildung zum Anwenden des Filters „KerberosV5 oder LDAP“.

  4. Wählen Sie "Start " aus, um die Aufnahmesitzung zu starten. Wenn der Datenverkehr zum und vom Domänencontroller nicht angezeigt wird, überprüfen Sie die Konfiguration der Portspiegelung.

    Abbildung zum Starten der Erfassungssitzung.

    Hinweis

    Es ist wichtig, dass Ihnen der Datenverkehr zu und von den Domänencontrollern angezeigt wird.

  5. Wenn Ihnen nur Datenverkehr in eine Richtung angezeigt wird, führen Sie mit Unterstützung Ihres Netzwerk- oder Virtualisierungsteams eine Problembehandlung für die Konfiguration der Portspiegelung durch.

Weitere Informationen