Microsoft Defender pour Identity conditions préalables pour les capteurs autonomes
Cet article répertorie les prérequis pour le déploiement d’un capteur autonome Microsoft Defender pour Identity où ils diffèrent des prérequis de déploiement principaux.
Pour plus d’informations, consultez Planifier la capacité de Microsoft Defender pour Identity déploiement.
Important
Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.
Configuration requise supplémentaire pour les capteurs autonomes
Les capteurs autonomes diffèrent des prérequis du capteur Defender pour Identity comme suit :
Les capteurs autonomes nécessitent un minimum de 5 Go d’espace disque
Les capteurs autonomes peuvent également être installés sur des serveurs situés dans un groupe de travail.
Les capteurs autonomes peuvent prendre en charge la surveillance de plusieurs contrôleurs de domaine, en fonction de la quantité de trafic réseau vers et depuis les contrôleurs de domaine.
Si vous travaillez avec plusieurs forêts, vos machines de capteur autonome doivent être autorisées à communiquer avec tous les contrôleurs de domaine de forêt distants à l’aide du protocole LDAP.
Pour plus d’informations sur l’utilisation de machines virtuelles avec le capteur autonome Defender pour Identity, consultez Configurer la mise en miroir des ports.
Cartes réseau pour les capteurs autonomes
Les capteurs autonomes nécessitent au moins l’une des cartes réseau suivantes :
Cartes de gestion : utilisées pour les communications sur votre réseau d’entreprise. Le capteur utilise cet adaptateur pour interroger le contrôleur de domaine qu’il protège et effectue une résolution sur les comptes d’ordinateur.
Configurez des adaptateurs de gestion avec des adresses IP statiques, notamment une passerelle par défaut, et des serveurs DNS préférés et alternatifs.
Le suffixe DNS de cette connexion doit être le nom DNS du domaine pour chaque domaine surveillé.
Remarque
Si le capteur autonome Defender pour Identity est membre du domaine, ceci peut être configuré automatiquement.
Adaptateur de capture : utilisé pour capturer le trafic vers et depuis les contrôleurs de domaine.
Important
- Configurez le port miroir ing de la carte de capture comme destination du trafic réseau du contrôleur de domaine. En règle générale, vous devez travailler avec l'équipe chargée de la mise en réseau ou de la virtualisation pour configurer la mise en miroir des ports.
- Configurez une adresse IP statique non routable (avec /32 mask) pour votre environnement sans passerelle de capteur par défaut et aucune adresse de serveur DNS. Par exemple : « 10.10.0.10/32. Cette configuration garantit que la carte réseau de capture peut capturer la quantité maximale de trafic et que la carte réseau de gestion est utilisée pour envoyer et recevoir le trafic réseau requis.
Remarque
Si vous exécutez Wireshark sur le capteur autonome Defender pour Identity, redémarrez le service du capteur Defender pour Identity une fois que vous avez arrêté la capture Wireshark. Si vous ne redémarrez pas le service de capteur, le capteur cesse de capturer le trafic.
Si vous tentez d’installer le capteur Defender pour Identity sur un ordinateur configuré avec un adaptateur d’association de cartes réseau, vous recevez une erreur d’installation. Si vous voulez d’installer le capteur Defender pour Identity sur une machine configurée avec une association de cartes réseau, consultez Problème d’association de cartes réseau du capteur Defender pour Identity.
Ports pour les capteurs autonomes
Le tableau suivant répertorie les ports supplémentaires requis par le capteur autonome Defender pour Identity sur l’adaptateur de gestion, en plus des ports répertoriés pour le capteur Defender pour Identity.
| Protocol | Transport | Port | Du | À |
|---|---|---|---|---|
| Ports internes | ||||
| LDAP | TCP et UDP | 389 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAP sécurisé (LDAPS) | TCP | 636 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAP vers le catalogue global | TCP | 3268 | Capteur Defender pour Identity | Contrôleurs de domaine |
| LDAPS vers le catalogue global | TCP | 3269 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Kerberos | TCP et UDP | 88 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Temps Windows | UDP | 123 | Capteur Defender pour Identity | Contrôleurs de domaine |
| Syslog (facultatif) | TCP/UDP | 514, selon la configuration | Serveur SIEM | Capteur Defender pour Identity |
Configuration requise pour le journal des événements Windows
La détection Defender pour Identity s’appuie sur des journaux d’événements Windows spécifiques que le capteur analyse à partir de vos contrôleurs de domaine. Pour que les événements appropriés soient audités et inclus dans le journal des événements Windows, vos contrôleurs de domaine nécessitent des paramètres précis de stratégie d’audit avancée Windows.
Pour plus d’informations, consultez la stratégie d’audit avancée case activée et les stratégies d’audit de sécurité avancées dans la documentation Windows.
Pour vous assurer que l’événement Windows 8004 est audité en fonction des besoins du service, passez en revue vos paramètres d’audit NTLM.
Pour les capteurs s’exécutant sur des serveurs AD FS /AD CS, configurez le niveau d’audit sur Verbose. Pour plus d’informations, consultez les informations d’audit des événements pour AD FS et les informations d’audit des événements pour AD CS.