A Microsoft Defender for Identity önálló érzékelő előfeltételei
Ez a cikk a Microsoft Defender for Identity önálló érzékelő üzembe helyezésének előfeltételeit sorolja fel, amelyek eltérnek a fő üzembehelyezési előfeltételektől.
További információ: Kapacitás megtervezése a Microsoft Defender for Identity üzembe helyezéséhez.
Fontos
A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észleléshez biztosítják az adatokat. A környezet teljes körű lefedése érdekében javasoljuk a Defender for Identity érzékelő üzembe helyezését.
Az önálló érzékelők további rendszerkövetelményei
Az önálló érzékelők az alábbiak szerint különböznek a Defender for Identity érzékelő előfeltételeitől :
Az önálló érzékelőknek legalább 5 GB lemezterületre van szükségük
Az önálló érzékelők a munkacsoportban lévő kiszolgálókra is telepíthetők.
Az önálló érzékelők több tartományvezérlő monitorozását is támogathatják a tartományvezérlők felé és onnan érkező hálózati forgalom mennyiségétől függően.
Ha több erdővel dolgozik, a különálló érzékelőgépeknek engedélyezni kell az összes távoli erdő tartományvezérlővel való kommunikációt LDAP használatával.
A virtuális gépeknek a Defender for Identity önálló érzékelővel való használatáról további információt a porttükrözés konfigurálása című témakörben talál.
Hálózati adapterek önálló érzékelőkhöz
Az önálló érzékelőkhöz az alábbi hálózati adapterek közül legalább egy szükséges:
Felügyeleti adapterek – a vállalati hálózaton történő kommunikációhoz használatosak. Az érzékelő ezzel az adapterrel kérdezi le azt a tartományvezérlőt, amelyet a számítógépfiókok védelmére és megoldására használ.
Konfigurálja a felügyeleti adaptereket statikus IP-címekkel, beleértve az alapértelmezett átjárót, valamint az előnyben részesített és másodlagos DNS-kiszolgálókat.
A kapcsolat DNS-utótagjának az egyes figyelt tartományok DNS-nevének kell lennie.
Megjegyzés:
Ha a Defender for Identity önálló érzékelője a tartomány tagja, ez automatikusan konfigurálható.
Rögzítési adapter – a tartományvezérlők felé és onnan érkező forgalom rögzítésére szolgál.
Fontos
- Konfigurálja a porttükrözést a rögzítési adapterhez a tartományvezérlő hálózati forgalmának céljaként. A porttükrözés konfigurálásához általában a hálózatkezelési vagy virtualizálási csapattal kell együttműködnie.
- Konfiguráljon egy statikus nem módosítható IP-címet (/32 maszkkal) a környezethez alapértelmezett érzékelőátjáró és DNS-kiszolgálócímek nélkül. Például: "10.10.0.10/32. Ez a konfiguráció biztosítja, hogy a rögzítési hálózati adapter rögzíthesse a maximális forgalmat, és hogy a felügyeleti hálózati adapter a szükséges hálózati forgalom küldésére és fogadására szolgáljon.
Megjegyzés:
Ha a Wiresharkot a Defender for Identity önálló érzékelőjén futtatja, a Wireshark-rögzítés leállítása után indítsa újra a Defender for Identity érzékelő szolgáltatást. Ha nem indítja újra az érzékelőszolgáltatást, az érzékelő leállítja a forgalom rögzítését.
Ha megkísérli telepíteni a Defender for Identity érzékelőt egy hálózati adapterrel konfigurált gépen, telepítési hiba jelenik meg. Ha a Defender for Identity érzékelőt egy hálózati adapterek összevonásával konfigurált gépen szeretné telepíteni, tekintse meg a Defender for Identity sensor NIC összevonási problémáját.
Portok önálló érzékelőkhöz
Az alábbi táblázat felsorolja azokat a további portokat, amelyeket a Defender for Identity önálló érzékelőjének konfigurálnia kell a felügyeleti adapteren, valamint a Defender for Identity érzékelőhöz felsorolt portokat.
Protokoll | Átvitel | Kikötő | Kezdőérték | Végérték |
---|---|---|---|---|
Belső portok | ||||
LDAP | TCP és UDP | 389 | Defender for Identity sensor | Tartományvezérlők |
Biztonságos LDAP (LDAPS) | TCP | 636 | Defender for Identity sensor | Tartományvezérlők |
LDAP–globális katalógus | TCP | 3268 | Defender for Identity sensor | Tartományvezérlők |
LDAPS–globális katalógus | TCP | 3269 | Defender for Identity sensor | Tartományvezérlők |
Kerberos | TCP és UDP | 88. | Defender for Identity sensor | Tartományvezérlők |
Windows-idő | UDP | 123 | Defender for Identity sensor | Tartományvezérlők |
Syslog (nem kötelező) | TCP/UDP | 514, konfigurációtól függően | SIEM-kiszolgáló | Defender for Identity sensor |
A Windows eseménynaplóra vonatkozó követelményei
Az identitásfelismeréshez készült Defender bizonyos Windows-eseménynaplókra támaszkodik, amelyeket az érzékelő elemez a tartományvezérlőkről. Ahhoz, hogy a megfelelő események naplózása és a Windows eseménynaplóban szerepeljen, a tartományvezérlőknek pontos Windows speciális naplózási házirend-beállításokra van szükségük.
További információ: Speciális naplózási szabályzatok ellenőrzése és Speciális biztonsági naplózási szabályzatok a Windows dokumentációjában.
Annak érdekében, hogy a szolgáltatás szükség szerint naplózhassa a Windows Event 8004-et, tekintse át az NTLM naplózási beállításait.
Az AD FS/AD CS-kiszolgálókon futó érzékelők esetében konfigurálja a naplózási szintet részletesre. További információ: Az AD FS eseménynaplózási információi és az AD CS eseménynaplózási információi.