Configurer la mise en miroir des ports
Cet article décrit les options de miroir de port pour Microsoft Defender pour Identity et s’applique uniquement aux capteurs autonomes. Defender pour Identity utilise principalement l’inspection approfondie des paquets sur le trafic réseau vers et depuis vos contrôleurs de domaine. Pour que les capteurs autonomes Defender pour Identity voient le trafic réseau, vous devez configurer le port miroir ing ou utiliser un tap réseau. La mise en miroir des ports copie le trafic d'un port (le port source) vers un autre port (le port de destination).
Lorsque vous utilisez le port miroir ing, configurez le miroir de port pour chaque contrôleur de domaine que vous surveillez comme source de votre trafic réseau. Nous vous recommandons de travailler avec votre équipe de mise en réseau ou de virtualisation pour configurer le port miroir ing.
Important
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Choisir une méthode de miroir de port
Vos contrôleurs de domaine et capteur autonome Defender pour Identity peuvent être physiques ou virtuels. Vous trouverez ci-dessous des méthodes courantes de mise en miroir des ports et quelques considérations à prendre en compte. Pour plus d'informations, consultez la documentation de votre commutateur ou de votre produit serveur virtuel. Votre fabricant de commutateurs peut utiliser une terminologie différente.
| Méthode | Description |
|---|---|
| Analyseur de port commuté (SPAN) | Copie le trafic réseau d’un ou plusieurs ports de commutateur vers un autre port de commutateur sur le même commutateur. Le capteur autonome Defender pour Identity et les contrôleurs de domaine doivent être connectés au même commutateur physique. |
| Analyseur de port de commutateur distant (RSPAN) | Vous permet de surveiller le trafic réseau à partir de ports sources distribués sur plusieurs commutateurs physiques. RSPAN copie le trafic source dans un réseau local virtuel configuré par RSPAN spécial. Ce réseau local virtuel doit être connecté aux autres commutateurs impliqués. RSPAN fonctionne au niveau de la couche 2. |
| Analyseur de port de commutateur distant encapsulé (ERSPAN) | Une technologie propriétaire Cisco fonctionnant au niveau de la couche 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans avoir besoin de jonctions VLAN et utilise l’encapsulation de routage générique (GRE) pour copier le trafic réseau surveillé. Defender pour Identity ne peut pas recevoir directement le trafic ERSPAN. Place: 1. Configurez la destination ERSPAN où le trafic est décapsulé en tant que commutateur ou routeur capable de décapsuler le trafic. 1. Configurez le commutateur ou le routeur pour transférer le trafic décapsulé vers le capteur autonome Defender for Identity à l’aide de SPAN ou RSPAN. |
Remarque
Si le contrôleur de domaine en cours de port miroir est connecté via une liaison WAN, assurez-vous que le lien WAN peut gérer la charge supplémentaire du trafic ERSPAN.
Defender pour Identity prend uniquement en charge la surveillance du trafic lorsque le trafic atteint la carte réseau et le contrôleur de domaine de la même manière. Defender pour Identity ne prend pas en charge la surveillance du trafic lorsque le trafic est décomposé vers différents ports.
Options de mise en miroir des ports prises en charge
Le tableau suivant décrit la prise en charge de Defender pour Identity pour les configurations de port miroir ing :
| Capteur autonome Defender pour Identity | Contrôleur de domaine | À propos de l’installation |
|---|---|---|
| Machines | Virtuel sur le même hôte | Le commutateur virtuel doit prendre en charge la mise en miroir des ports. Le déplacement de l'une des machines virtuelles vers un autre hôte risque d'interrompre la mise en miroir des ports. |
| Machines | Virtuelle sur différents hôtes | Vérifiez que votre commutateur virtuel prend en charge ce scénario. |
| Machines | Physique | Nécessite une carte réseau dédiée, sinon Defender pour Identity voit tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie au service cloud Defender for Identity. |
| Physique | Les machines | Assurez-vous que votre commutateur virtuel prend en charge ce scénario - et la configuration de la mise en miroir des ports sur vos commutateurs physiques en fonction du scénario : Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer une étendue de niveau de commutateur. Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN*. |
| Physique | Physique sur le même commutateur | Le commutateur physique doit prendre en charge la mise en miroir des ports/SPAN. |
| Physique | Physique sur un autre commutateur | Nécessite des commutateurs physiques pour prendre en charge RSPAN ou ERSPAN ERSPAN est pris en charge uniquement lorsque la décapsulation est effectuée avant l’analyse du trafic par Defender pour Identity. |
Remarque
L’heure sur vos contrôleurs de domaine et le capteur Defender pour Identity connecté doivent être synchronisés dans les 5 minutes de chaque autre.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :