Porttükrözés konfigurálása
Ez a cikk a Microsoft Defender for Identity porttükrözési lehetőségeit ismerteti, és csak az önálló érzékelőkre vonatkozik. A Defender for Identity főként mély csomagvizsgálatot használ a tartományvezérlők felé és a tartományvezérlőkről érkező hálózati forgalom felett. Ahhoz, hogy a Defender for Identity különálló érzékelők láthassa a hálózati forgalmat, konfigurálnia kell a porttükrözést, vagy hálózati TAP-t kell használnia. A porttükrözés az egyik portról (a forrásportról) egy másik portra (a célportra) másolja a forgalmat.
Porttükrözés használatakor konfigurálja a porttükrözést minden olyan tartományvezérlőhöz, amelyet a hálózati forgalom forrásaként figyel. Javasoljuk, hogy a hálózatkezelési vagy virtualizálási csapattal együttműködve konfigurálja a porttükrözést.
Fontos
A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észleléshez biztosítják az adatokat. A környezet teljes körű lefedése érdekében javasoljuk a Defender for Identity érzékelő üzembe helyezését.
Porttükrözési módszer kiválasztása
A tartományvezérlők és a Defender for Identity önálló érzékelője lehet fizikai vagy virtuális. Az alábbiakban a porttükrözés gyakori módszereit és néhány szempontot ismertetjük. További információkért tekintse meg a kapcsoló- vagy virtualizálási kiszolgáló termékdokumentációját. Előfordulhat, hogy a kapcsoló gyártója más terminológiát használ.
| Metódus | Leírás |
|---|---|
| Átváltott portelemző (SPAN) | Másolja a hálózati forgalmat egy vagy több kapcsolóportról egy másik kapcsolóportra ugyanazon a kapcsolón. A Defender for Identity önálló érzékelőjének és a tartományvezérlőknek is ugyanahhoz a fizikai kapcsolóhoz kell csatlakozniuk. |
| Távoli kapcsoló portelemzője (RSPAN) | Lehetővé teszi a több fizikai kapcsolón keresztül elosztott forrásportok hálózati forgalmának monitorozását. Az RSPAN egy speciális RSPAN-konfigurált VLAN-ba másolja a forrásforgalmat. Ezt a VLAN-t a többi érintett kapcsolóra kell helyezni. Az RSPAN a 2. rétegben működik. |
| Beágyazott távoli kapcsolóportelemző (ERSPAN) | A Cisco saját fejlesztésű technológiája, amely a 3. rétegben működik. Az ERSPAN lehetővé teszi a kapcsolók közötti forgalom monitorozását anélkül, hogy VLAN-csomagtartókra volna szükség, és általános útválasztási beágyazást (GRE) használ a figyelt hálózati forgalom másolásához. A Defender for Identity jelenleg nem tudja közvetlenül fogadni az ERSPAN-forgalmat. Helyett: 1. Konfigurálja az ERSPAN-célhelyet, ahol a forgalom le van bontva kapcsolóként vagy útválasztóként, amely képes a forgalom lefejezésére. 1. Konfigurálja a kapcsolót vagy az útválasztót úgy, hogy a lefejezett forgalmat továbbítsa a Defender for Identity önálló érzékelőjéhez SPAN vagy RSPAN használatával. |
Megjegyzés:
Ha a porttükrözés alatt álló tartományvezérlő WAN-kapcsolaton keresztül csatlakozik, győződjön meg arról, hogy a WAN-hivatkozás képes kezelni az ERSPAN-forgalom további terhelését.
A Defender for Identity csak akkor támogatja a forgalomfigyelést, ha a forgalom azonos módon éri el a hálózati adaptert és a tartományvezérlőt. A Defender for Identity nem támogatja a forgalom figyelését, ha a forgalom különböző portokra van bontva.
Támogatott porttükrözési beállítások
Az alábbi táblázat a Defender for Identity porttükrözési konfigurációinak támogatását ismerteti:
| Defender for Identity önálló érzékelő | Tartományvezérlő | Considerations |
|---|---|---|
| Virtuális | Virtuális egyazon gazdagépen | A virtuális kapcsolónak támogatnia kell a porttükrözést. Ha az egyik virtuális gépet önmagában áthelyezi egy másik gazdagépre, az megszakíthatja a porttükrözést. |
| Virtuális | Virtuális gépek különböző gazdagépeken | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet. |
| Virtuális | Physical | Dedikált hálózati adaptert igényel, különben a Defender for Identity az összes bejövő és kimenő forgalmat látja a gazdagépen, még a Defender for Identity felhőszolgáltatásnak küldött forgalmat is. |
| Physical | Virtuális | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet – és a porttükrözés konfigurálását a fizikai kapcsolókon a forgatókönyv alapján: Ha a virtuális gazdagép ugyanazon a fizikai kapcsolón van, konfigurálnia kell egy kapcsolószintű tartományt. Ha a virtuális gazdagép másik kapcsolón van, konfigurálnia kell az RSPAN-t vagy az ERSPAN-t*. |
| Physical | Fizikai ugyanazon a kapcsolón | A fizikai kapcsolónak támogatnia kell a SPAN/Porttükrözést. |
| Physical | Fizikai egy másik kapcsolón | Fizikai kapcsolókra van szükség az RSPAN vagy az ERSPAN támogatásához Az ERSPAN csak akkor támogatott, ha a lefejezést azelőtt hajtja végre, hogy a Defender for Identity elemezné a forgalmat. |
Megjegyzés:
A tartományvezérlők és a csatlakoztatott Defender for Identity érzékelőn töltött időt 5 percen belül szinkronizálni kell.
Kapcsolódó tartalom
For more information, see: