Partekatu honen bidez:


Configurar la creación de reflejo del puerto

En este artículo se describen las opciones de creación de reflejo del puerto para Microsoft Defender for Identity y solo es relevante para los sensores independientes. Defender for Identity usa principalmente la inspección profunda de paquetes a través del tráfico de red hacia y desde los controladores de dominio. Para que los sensores independientes de Defender for Identity vean el tráfico de red, debe configurar la creación de reflejo del puerto o usar un TAP de red. La creación de reflejo del puerto copia el tráfico de un puerto (el puerto de origen) a otro (el puerto de destino).

Al usar la creación de reflejo del puerto, configure la creación de reflejo del puerto para cada controlador de dominio que esté supervisando como origen del tráfico de red. Se recomienda trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto.

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa de su entorno, se recomienda implementar el sensor de Defender for Identity.

Elección de un método de creación de reflejo del puerto

Los controladores de dominio y el sensor independiente de Defender for Identity pueden ser físicos o virtuales. Los siguientes son métodos comunes para la creación de reflejo del puerto y algunas consideraciones a tener en cuenta. Para obtener más información, vea la documentación de su conmutador o servidor de virtualización. El fabricante del conmutador puede usar terminología diferente.

Method Descripción
Analizador de puertos conmutados (SPAN) Copia el tráfico de red de uno o varios puertos de conmutador a otro puerto de conmutador en el mismo conmutador. Tanto el sensor independiente de Defender for Identity como los controladores de dominio deben estar conectados al mismo conmutador físico.
Analizador de puertos de conmutador remoto (RSPAN) Permite supervisar el tráfico de red desde puertos de origen distribuidos a través de varios conmutadores físicos. RSPAN copia el tráfico de origen en una VLAN configurada especial de RSPAN. Esta VLAN debe ser troncal a los demás conmutadores implicados. RSPAN funciona en la capa 2.
Analizado de puerto conmutados, remoto y encapsulado (ERSPAN) Una tecnología propietaria de Cisco que trabaja en la capa 3. ERSPAN le permite supervisar el tráfico entre conmutadores sin necesidad de troncos VLAN y usa la encapsulación de enrutamiento genérica (GRE) para copiar el tráfico de red supervisado.

Actualmente, Defender for Identity no puede recibir tráfico ERSPAN directamente. En su lugar:
1. Configure el destino ERSPAN donde el tráfico se descapsula como conmutador o enrutador que puede descapsular el tráfico.
1. Configure el conmutador o enrutador para reenviar el tráfico descapsulado al sensor independiente de Defender for Identity mediante SPAN o RSPAN.

Nota:

  • Si el controlador de dominio que se está creando como reflejo del puerto está conectado a través de un vínculo WAN, asegúrese de que el vínculo WAN pueda controlar la carga adicional del tráfico ERSPAN.

  • Defender for Identity solo admite la supervisión del tráfico cuando el tráfico llega a la NIC y al controlador de dominio de la misma manera. Defender for Identity no admite la supervisión del tráfico cuando el tráfico se divide en puertos diferentes.

Opciones de creación de reflejo del puerto admitidas

En la tabla siguiente se describe la compatibilidad de Defender for Identity con las configuraciones de creación de reflejo del puerto:

Sensor independiente de Defender for Identity Controlador de dominio Consideraciones
Las máquinas Virtual en el mismo host El conmutador virtual debe admitir la creación de reflejo del puerto.

Mover una de las máquinas virtuales a otro host por sí mismo puede interrumpir la creación de reflejo del puerto.
Las máquinas Virtual en distintos hosts Asegúrese de que el conmutador virtual admite este escenario.
Las máquinas Físico Requiere un adaptador de red dedicado; de lo contrario, Defender for Identity ve todo el tráfico que entra y sale del host, incluso el tráfico que envía al servicio en la nube de Defender for Identity.
Físico Las máquinas Asegúrese de que el conmutador virtual admite este escenario y la configuración de creación de reflejo del puerto en los conmutadores físicos en función del escenario:

Si el host virtual está en el mismo conmutador físico, debe configurar un intervalo de nivel de conmutador.

Si el host virtual está en un conmutador diferente, debe configurar RSPAN o ERSPAN*.
Físico Físico en el mismo conmutador El conmutador físico debe admitir la creación de reflejo del puerto/SPAN.
Físico Físico en un conmutador diferente Requiere conmutadores físicos para admitir RSPAN o ERSPAN

ERSPAN solo se admite cuando se realiza la descapsulación antes de que Defender for Identity analice el tráfico.

Nota:

La hora en los controladores de dominio y el sensor conectado de Defender for Identity deben sincronizarse en un plazo de 5 minutos a partir de cada uno.

Para más información, vea: