Konfigurieren der Portspiegelung
In diesem Artikel werden portieren Spiegel Optionen für Microsoft Defender for Identity beschrieben und ist nur für eigenständige Sensoren relevant. Defender for Identity Standard verwendet umfassende Paketüberprüfung über Netzwerkdatenverkehr zu und von Ihren Aufgaben Standard controllern. Damit eigenständige Defender for Identity-Sensoren Den Netzwerkdatenverkehr anzeigen können, müssen Sie entweder portieren Spiegel ing konfigurieren oder ein Netzwerk-TAP verwenden. Das Portieren Spiegel kopiert den Datenverkehr von einem Port (dem Quellport) in einen anderen Port (den Zielport).
Konfigurieren Sie bei Der Verwendung von Port Spiegel ing portieren Spiegel ing für jeden do Standard Controller, den Sie als Quelle des Netzwerkdatenverkehrs überwachen. Es wird empfohlen, mit Ihrem Netzwerk- oder Virtualisierungsteam zusammenzuarbeiten, um port Spiegel ing zu konfigurieren.
Wichtig
Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.
Wählen Sie eine Port-Spiegelungsmethode
Ihre Domänencontroller und eigenständiger Sensor für Defender for Identity können entweder physisch oder virtuell sein. Im Folgenden finden Sie allgemeine Methoden für das Portieren Spiegel ing und einige Überlegungen. Weitere Informationen finden Sie in der Switch- oder Virtualisierungsserver-Dokumentation. Ihr Switch-Hersteller verwendet möglicherweise unterschiedliche Terminologie.
| Methode | Beschreibung |
|---|---|
| Switched Port Analyzer (SPAN) | Kopiert den Netzwerkdatenverkehr von einem oder mehreren Switchports in einen anderen Switchport auf demselben Switch. Sowohl der eigenständige Defender for Identity-Sensor als auch die do Standard-Controller müssen mit demselben physischen Schalter verbunden sein. |
| Remote Switch Port Analyzer (RSPAN) | Ermöglicht es Ihnen, den Netzwerkdatenverkehr von Quellports zu überwachen, die über mehrere physische Switches verteilt sind. RSPAN kopiert den Quelldatenverkehr in ein spezielles RSPAN-konfiguriertes VLAN. Dieses VLAN muss zu den anderen beteiligten Switches trunked werden. RSPAN arbeitet bei Layer 2. |
| Encapsulated Remote Switch Port Analyzer (ERSPAN) | Eine proprietäre Cisco-Technologie, die bei Layer 3 arbeitet. ERSPAN ermöglicht es Ihnen, datenverkehrsübergreifend zu überwachen, ohne DASS VLAN-Trunks erforderlich sind, und die generische Routingkapselung (GRE) verwendet, um überwachten Netzwerkdatenverkehr zu kopieren. Defender for Identity kann derzeit keinen ERSPAN-Datenverkehr direkt empfangen. Alternative: 1. Konfigurieren Sie das ERSPAN-Ziel, in dem der Datenverkehr als Switch oder Router gekapselt wird, der den Datenverkehr entkapselt. 1. Konfigurieren Sie den Switch oder Router so, dass der entkapselte Datenverkehr mithilfe von SPAN oder RSPAN an den eigenständigen Defender for Identity-Sensor weitergeleitet wird. |
Hinweis
Wenn der Standard Controller, der portiert Spiegel, über eine WAN-Verbindung verbunden ist, stellen Sie sicher, dass die WAN-Verbindung die zusätzliche Last des ERSPAN-Datenverkehrs verarbeiten kann.
Defender for Identity unterstützt nur die Datenverkehrsüberwachung, wenn der Datenverkehr die NIC und den Do Standard Controller auf die gleiche Weise erreicht. Defender for Identity unterstützt keine Datenverkehrsüberwachung, wenn der Datenverkehr auf verschiedene Ports aufgeteilt wird.
Unterstützte Port-Spiegel ing-Optionen
Die folgende Tabelle beschreibt die Unterstützung von Defender for Identity für Port-Spiegel ing-Konfigurationen:
| Defender for Identity standalone sensor Installationssprache | Domänencontroller | Überlegungen |
|---|---|---|
| Virtual | Virtuell auf demselben Host | Der virtuelle Switch muss Port Spiegel ing unterstützen. Das Verschieben eines der virtuellen Computer auf einen anderen Host selbst kann den Port Spiegel ing unterbrechen. |
| Virtual | Virtuell auf verschiedenen Hosts | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt. |
| Virtual | Physisch | Erfordert einen dedizierten Netzwerkadapter, andernfalls sieht Defender for Identity den gesamten Datenverkehr, der in den Host ein- und ausgeht, auch der Datenverkehr, den er an den Defender for Identity-Clouddienst sendet. |
| Physisch | Virtuell | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt – und portieren Sie Spiegel Konfiguration auf Ihren physischen Switches basierend auf dem Szenario: Wenn sich der virtuelle Host auf demselben physischen Switch befindet, müssen Sie eine Switchebenenspanne konfigurieren. Wenn sich der virtuelle Host auf einem anderen Switch befindet, müssen Sie RSPAN oder ERSPAN* konfigurieren. |
| Physisch | Physisch auf demselben Schalter | Physischer Switch muss SPAN/PortSpiegelung unterstützen. |
| Physisch | Physisch auf einem anderen Schalter | Erfordert physische Switches zur Unterstützung von RSPAN oder ERSPAN ERSPAN wird nur unterstützt, wenn die Entkapselung ausgeführt wird, bevor der Datenverkehr von Defender for Identity analysiert wird. |
Hinweis
Die Zeit auf Ihrer Do Standard-Controller und der angeschlossene Defender for Identity-Sensor muss innerhalb von 5 Minuten nach jedem anderen synchronisiert werden.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: