Sie möchten Microsoft Defender for Identity bereitstellen.
In diesem Artikel wird beschrieben, wie Sie das Microsoft Defender for Identity-Größenanpassungstool verwenden, um zu ermitteln, ob Ihre Aufgaben Standard Controllerserver über genügend Ressourcen für einen Microsoft Defender for Identity-Sensor verfügen.
Während do Standard Controllerleistung möglicherweise nicht betroffen ist, wenn der Server nicht über erforderliche Ressourcen verfügt, funktioniert der Defender for Identity-Sensor möglicherweise nicht wie erwartet. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender for Identity.
Das Größenanpassungstool misst nur die kapazität, die für do Standard Controller erforderlich ist. Es ist nicht erforderlich, sie für AD FS/AD CS-Server auszuführen, da die Auswirkungen auf die Leistung auf AD FS/AD CS-Server extrem minimal sind, um nicht vorhanden zu sein.
Tipp
Standardmäßig unterstützt Defender for Identity bis zu 350 Sensoren. Wenn Sie weitere Sensoren installieren möchten, wenden Sie sich an den Defender for Identity-Support.
Voraussetzungen
- Laden Sie das Defender for Identity Dimensionierungstool herunter.
- Lesen Sie den Artikel Defender for Identity architecture.
- Lesen Sie den Artikel Defender for Identity prerequisites.
Um genaue Ergebnisse sicherzustellen, führen Sie nur das Größenanpassungstool aus, bevor Sie Defender for Identity-Sensoren in Ihrer Umgebung installiert haben.
Verwenden des Tools „winget“
Führen Sie das Defender for Identity-Größenanpassungstool TriSizingTool.exe aus der heruntergeladenen ZIP-Datei aus.
Wenn die Ausführung des Tools abgeschlossen ist, öffnen Sie die Excel-Dateiergebnisse.
Suchen Und wählen Sie in der Excel-Datei das Azure ATP-Zusammenfassungsblatt aus, und überprüfen Sie dann die Spalte "Sensor unterstützt " auf Ergebnisse, die angeben, ob Ihr Server unterstützt wird.
Beispiel:
Hinweis
Das andere Blatt in der Datei wird für die Planung von Advanced Threat Analytics (ATA) verwendet und ist für Defender for Identity nicht erforderlich.
Das Größentool bestimmt, ob ihr Server basierend auf dem Wert "Beschäftigt-Pakete/Sekunde " unterstützt wird, der basierend auf den 15 minutenbelasteten Minuten über einen Zeitraum von 24 Stunden berechnet wird.
Zu den allgemeinen Ergebnissen gehören:
Ergebnis | Beschreibung |
---|---|
Ja | Der Sensor wird auf Ihrem Server unterstützt. |
Ja, aber zusätzliche Ressourcen erforderlich | Der Sensor wird auf Ihrem Server unterstützt, solange Sie angegebene fehlende Ressourcen hinzufügen. |
Vielleicht | Der aktuelle Wert für Beschäftigt-Pakete/Sekunde kann zu diesem Zeitpunkt deutlich höher sein als der Durchschnitt. Überprüfen Sie die Zeitstempel, um die Prozesse zu verstehen, die zu diesem Zeitpunkt ausgeführt werden, und ob Sie die Bandbreite für diese Prozesse unter normalen Umständen einschränken können. |
Vielleicht, aber zusätzliche Ressourcen erforderlich | Der Sensor kann auf Ihrem Server unterstützt werden, solange Sie angegebene fehlende Ressourcen hinzufügen, oder die Beschäftigt-Pakete /Sekunde können über 60K liegen. |
Nein | Der Sensor wird auf Ihrem Server nicht unterstützt. Der aktuelle Wert für Beschäftigt-Pakete/Sekunde kann zu diesem Zeitpunkt deutlich höher sein als der Durchschnitt. Überprüfen Sie die Zeitstempel, um die Prozesse zu verstehen, die zu diesem Zeitpunkt ausgeführt werden, und ob Sie die Bandbreite für diese Prozesse unter normalen Umständen einschränken können. |
Fehlende OS-Daten | Es gab ein Problem beim Lesen der Betriebssystemdaten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
Fehlende Datenverkehrsdaten | Es gab ein Problem beim Lesen der Datenverkehrsdaten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server remote Leistungsindikatoren abfragen kann. |
Es fehlen Daten | Es gab ein Problem beim Lesen der RAM-Daten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
Siehe fehlende Daten | Es gab ein Problem beim Lesen der Kerndaten. Stellen Sie sicher, dass die Verbindung mit Ihrem Server WMI remote abfragen kann. |
Die folgende Abbildung zeigt beispielsweise eine Reihe von Ergebnissen, in denen der "Maybe " angibt, dass der Wert "Beschäftigt-Pakete/Sekunde " an diesem Punkt deutlich höher ist als der Durchschnitt. Beachten Sie, dass die Anzeige von DC-Zeiten als UTC/Local auf "Lokale DC-Zeit" festgelegt ist. Diese Einstellung trägt dazu bei, dass die Werte um ca. 3:30 Uhr eingenommen wurden.
Geschätzte Größe des Defender for Identity-Sensors
Die folgende Tabelle zeigt die geschätzte CPU- und RAM-Kapazität, die für einen Defender for Identity-Sensor erforderlich ist, basierend auf der typischen Menge des netzwerkdatenverkehrs, der von einem Do Standard Controller generiert wird.
Diese Tabelle ist eine Schätzung. Die endgültige Menge, die der Sensor analysiert, hängt von der Menge des Datenverkehrs und der Verteilung des Datenverkehrs ab.
Pakete pro Sekunde | CPU (physische Kerne) | RAM (GB) |
---|---|---|
0-1.000 | 0,25 | 2,50 |
1k-5k | 0,75 | 6,00 |
5k-10k | 1,00 | 6.50 |
10.000-20.000 | 2.00 | 9.00 |
20.000-50.000 | 3.50 | 9.50 |
50k-75k | 5.50 | 11,50 |
75.000-100.000 | 7.50 | 13,50 |
In dieser Tabelle:
CPU- und RAM-Kapazität beziehen sich auf den eigenen Verbrauch des Sensors, nicht auf die Do Standard-Controllerkapazität.
Cpu-Kapazität enthält keine Hyperthreadkerne. Es wird empfohlen, dass Sie nicht mit Hyperthreadkernen arbeiten, was zu Integritätsproblemen im Defender for Identity-Sensor führen kann.
Berücksichtigen Sie beim Bestimmen der Größenanpassung die Gesamtanzahl der Kerne und die Gesamtmenge des Arbeitsspeichers, der vom Sensordienst verwendet wird.
Weitere Informationen findest du unter Ressourcenbeschränkungen.
Manuelle Größenschätzung für do Standard-Controller
Wenn Sie das Größenanpassungstool nicht verwenden können, können Sie manuell abschätzen, ob Ihre Aufgabenserver Standard Controllerserver stattdessen über genügend Ressourcen für einen Defender for Identity-Sensor verfügen.
Sammeln Sie die Paket-/Sekunde-Zählerinformationen von allen Ihren Aufgaben Standard Controllern über 24 Stunden mit einem niedrigen Sammlungsintervall wie 5 Sekunden. Berechnen Sie für jeden Do Standard Controller den Tagesdurchschnitt und den durchschnittlichsten Zeitraum (15 Minuten).
Mit verschiedenen Tools können Sie den durchschnittlichen Paket-/Sekundenzähler für Ihren Do Standard controller ermitteln. In diesem Verfahren wird ein Beispiel für die Verwendung von Leistungsmonitor zum Sammeln der relevanten Informationen beschrieben.
Öffnen Sie Leistungsmonitor, und erweitern Sie Datensammlersätze.
Klicken Sie mit der rechten Maustaste auf "Benutzerdefiniert ", und wählen Sie "Neuer > Datensammlersatz" aus.
Geben Sie einen aussagekräftigen Namen für den Sammelsatz ein, und wählen Sie " Manuell erstellen " (Erweitert)" aus.
Wählen Sie unter welchen Datentypen Sie einschließen möchten?, wählen Sie " Datenprotokolle erstellen" und "Leistungsindikator" aus.
Erweitern Sie den Netzwerkadapter , und wählen Sie dann "Pakete/Sek " und den entsprechenden Arbeitsbereich aus. Wenn Sie nicht sicher sind, welchen Arbeitsbereich Sie auswählen sollen, wählen Sie <"Alle Arbeitsbereiche"> aus. Wählen Sie "OK hinzufügen">aus, um den Schritt abzuschließen.
Wenn Sie diesen Schritt über die Befehlszeile ausführen, führen Sie alternativ die Ausführung
ipconfig /all
aus, um den Namen und die Konfiguration des Adapters anzuzeigen.Ändern Sie das Beispielintervall auf fünf Sekunden, und definieren Sie, wo die Daten gespeichert werden sollen.
Wählen Sie unter "Datensammlersatz erstellen" die Option "Diesen Datensammlersatz jetzt>fertig stellen" aus.
Nun sollte der von Ihnen erstellte Datensammlersatz mit einem grünen Dreieck angezeigt werden, das angibt, dass es funktioniert.
Beenden Sie nach 24 Stunden den Datensammlersatz. Klicken Sie mit der rechten Maustaste auf den Datensammlersatz, und wählen Sie "Beenden" aus.
Navigieren Sie in Explorer zu dem Ordner, in dem die BLG-Datei gespeichert wurde. Doppelklicken Sie darauf, um sie in Leistungsmonitor zu öffnen.
Wählen Sie den Paket-/Sek .-Zähler aus, und notieren Sie die Durchschnitts- und Höchstwerte.
Hinweis
Standardmäßig unterstützt Defender for Identity bis zu 350 Sensoren. Wenn Sie weitere Sensoren installieren möchten, wenden Sie sich an den Defender for Identity-Support.