Partekatu honen bidez:


Planee la capacidad de implementación de Microsoft Defender for Identity

En este artículo se describe cómo usar la herramienta de ajuste de tamaño de Microsoft Defender for Identity para determinar si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Microsoft Defender for Identity.

Aunque es posible que el rendimiento del controlador de dominio no se vea afectado si el servidor no tiene recursos necesarios, el sensor de Defender for Identity puede no funcionar según lo previsto. Consulte Requisitos previos de Microsoft Defender for Identity para obtener más información.

La herramienta de ajuste de tamaño mide solo la capacidad necesaria para los controladores de dominio. No es necesario ejecutarlo en servidores de AD FS /AD CS, ya que el impacto en el rendimiento en los servidores de AD FS / AD CS es extremadamente mínimo para no existir.

Sugerencia

De forma predeterminada, Defender for Identity admite hasta 350 sensores. Para instalar más sensores, póngase en contacto con el soporte técnico de Defender for Identity.

Requisitos previos

Para garantizar resultados precisos, ejecute solo la herramienta de ajuste de tamaño antes de instalar los sensores de Defender for Identity en su entorno.

Uso de la herramienta de ajuste de tamaño

  1. Ejecute la herramienta de ajuste de tamaño de Defender for Identity, TriSizingTool.exe, desde el archivo ZIP que descargó.

  2. Cuando la herramienta termine de ejecutarse, abra los resultados del archivo de Excel.

  3. En el archivo de Excel, busque y seleccione la hoja Resumen de Azure ATP y, a continuación, compruebe la columna Compatible con sensor para ver los resultados que indican si el servidor es compatible.

    Por ejemplo:

    Screenshot of a sample capacity planning tool.

    Nota:

    La otra hoja del archivo se usa para el planeamiento de Advanced Threat Analytics (ATA) y no es necesaria para Defender for Identity.

La herramienta de ajuste de tamaño determina si el servidor se admite en función del valor Paquetes ocupados/por segundo, que se calcula en función de los 15 minutos más ocupados durante un período de 24 horas.

Entre los resultados comunes se incluyen:

Resultado Descripción
El sensor se admite en el servidor
Sí, pero se requieren recursos adicionales El sensor se admite en el servidor siempre que agregue los recursos que faltan especificados.
Es posible El valor actual de Paquetes ocupados/por segundo puede ser significativamente mayor en ese momento que el promedio. Compruebe las marcas de tiempo para comprender los procesos que se ejecutan en ese momento y si puede limitar el ancho de banda de esos procesos en circunstancias normales.
Quizás, pero se requieren recursos adicionales Es posible que el sensor se admita en el servidor siempre que agregue los recursos que falten, o bien los paquetes ocupados/por segundo pueden estar por encima de 60 000.
No El sensor no se admite en el servidor.

El valor actual de Paquetes ocupados/por segundo puede ser significativamente mayor en ese momento que el promedio. Compruebe las marcas de tiempo para comprender los procesos que se ejecutan en ese momento y si puede limitar el ancho de banda de esos procesos en circunstancias normales.
Faltan datos OS Se produjo un problema al leer los datos del sistema operativo. Asegúrese de que la conexión con el servidor puede consultar WMI de forma remota.
Datos de tráfico que faltan Se produjo un problema al leer los datos de tráfico. Asegúrese de que la conexión al servidor pueda consultar los contadores de rendimiento de forma remota.
Faltan datos RAM Hubo un problema al leer los datos de RAM. Asegúrese de que la conexión con el servidor puede consultar WMI de forma remota.
Faltan datos de núcleo Hubo un problema al leer los datos principales. Asegúrese de que la conexión con el servidor puede consultar WMI de forma remota.

Por ejemplo, en la imagen siguiente se muestra un conjunto de resultados en el que Tal vez indica que el valor Paquetes ocupados/por segundo es significativamente mayor en ese momento que el promedio. Tenga en cuenta que las horas del controlador de dominio configuradas como UTC/Local se establecen en Hora local del controlador de dominio. Esta configuración ayuda a resaltar el hecho de que los valores se tomaron a las 3:30 a. m.

Screenshot of a capacity tool results showing Maybe values.

Ajuste de tamaño estimado del sensor de Defender for Identity

En la tabla siguiente se muestra la capacidad estimada de CPU y RAM necesaria para un sensor de Defender for Identity, en función de la cantidad típica de tráfico de red generada por un controlador de dominio.

Esta tabla es una estimación. La cantidad final que analiza el sensor depende de la cantidad de tráfico y la distribución del tráfico.

Paquetes ocupados/por segundo CPU (núcleos físicos) RAM (GB)
0-1k 0,25 2,50
1k-5k 0,75 6,00
5k-10k 1.00 6.50
10k-20k 2.00 9.00
20k-50k 3.50 9.50
50k-75k 5.50 11.50
75k-100k 7.50 13.50

En esta tabla:

  • La capacidad de CPU y RAM hace referencia al propio consumo del sensor, no a la capacidad del controlador de dominio.

  • La capacidad de CPU no incluye núcleos hiperprocesos. Se recomienda no trabajar con núcleos hiperprocesos, porque pueden dar lugar a problemas de mantenimiento en el sensor de Defender for Identity.

Al determinar el tamaño, tenga en cuenta el número total de núcleos y la cantidad total de memoria que usará el servicio del sensor.

Para obtener más información, consulte Límites de los recursos.

Estimación manual del ajuste de tamaño de los controladores de dominio

Si no puede usar la herramienta de ajuste de tamaño, puede calcular manualmente si los servidores de controlador de dominio tienen suficientes recursos para un sensor de Defender for Identity en su lugar.

Recopile manualmente la información del contador de paquetes/segundo de todos los controladores de dominio, durante más de 24 horas con un intervalo de recopilación bajo, como 5 segundos. Para cada controlador de dominio, calcule el promedio diario y el promedio de período más ocupado (15 minutos).

Varias herramientas pueden ayudarle a detectar el contador promedio de paquetes/segundo para el controlador de dominio. En este procedimiento se describe un ejemplo de cómo usar Monitor de rendimiento para recopilar la información pertinente.

  1. Abra Monitor de rendimiento y expanda Conjuntos de recopiladores de datos.

  2. Haga clic con el botón derecho en Definido por el usuario y seleccione Nuevo > conjunto de recopiladores de datos.

  3. Escriba un nombre descriptivo para el conjunto de recopiladores y seleccione Crear manualmente (avanzado).

  4. En ¿Qué tipo de datos desea incluir?, seleccione Crear registros de datos y Contador de rendimiento.

  5. Expanda Adaptador de red y, a continuación, seleccione Paquetes por segundo y el área de trabajo correspondiente. Si no está seguro de qué área de trabajo seleccionar, seleccione <Todas las áreas> de trabajo. Seleccione Agregar>aceptar para completar el paso.

    Como alternativa, si va a realizar este paso desde la línea de comandos, ejecute ipconfig /all para ver el nombre y la configuración del adaptador.

  6. Cambie el intervalo de ejemplo a cinco segundos y defina dónde desea que se guarden los datos.

  7. En Crear el conjunto de recopiladores de datos, seleccione Iniciar este conjunto de recopiladores de datos ahora>Finalizar.

    Ahora debería ver el conjunto de recopiladores de datos que creó con un triángulo verde que indica que funciona.

  8. Después de 24 horas, detenga el conjunto de recopiladores de datos. Haga clic con el botón derecho en el conjunto de recopiladores de datos y seleccione Detener.

  9. En Explorador de archivos, vaya a la carpeta donde se guardó el archivo .blg. Haga doble clic en él para abrirlo en Monitor de rendimiento.

  10. Seleccione el contador Paquetes por segundo y registre los valores promedio y máximo.

Nota:

De forma predeterminada, Defender for Identity admite hasta 350 sensores. Si quiere instalar más, póngase en contacto con el soporte técnico de Defender for Identity.

Paso siguiente