Mengonfigurasi pencerminan port
Artikel ini menjelaskan opsi pencerminan port untuk Microsoft Defender untuk Identitas, dan hanya relevan untuk sensor mandiri. Defender for Identity terutama menggunakan inspeksi paket mendalam melalui lalu lintas jaringan ke dan dari pengendali domain Anda. Agar sensor mandiri Defender for Identity melihat lalu lintas jaringan, Anda harus mengonfigurasi pencerminan port, atau menggunakan TAP Jaringan. Pencerminan port menyalin lalu lintas dari satu port (port sumber) ke port lain (port tujuan).
Saat menggunakan pencerminan port, konfigurasikan pencerminan port untuk setiap pengontrol domain yang Anda pantau sebagai sumber lalu lintas jaringan Anda. Sebaiknya bekerja dengan tim jaringan atau virtualisasi Anda untuk mengonfigurasi pencerminan port.
Penting
Sensor mandiri Defender for Identity tidak mendukung pengumpulan entri log Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan data untuk beberapa deteksi. Untuk cakupan penuh lingkungan Anda, sebaiknya sebarkan sensor Defender for Identity.
Pilih metode pencerminan port
Pengontrol domain dan sensor mandiri Defender for Identity Anda dapat berupa fisik atau virtual. Berikut ini adalah metode umum untuk pencerminan port dan beberapa pertimbangan. Untuk informasi selengkapnya, lihat dokumentasi produk switch atau server virtualisasi Anda. Produsen switch Anda mungkin menggunakan terminologi yang berbeda.
| Metode | Deskripsi |
|---|---|
| Penganalisis Port Tertukar (SPAN) | Menyalin lalu lintas jaringan dari satu atau beberapa port sakelar ke port sakelar lain pada sakelar yang sama. Sensor mandiri Defender for Identity dan pengendali domain harus terhubung ke sakelar fisik yang sama. |
| Remote Switch Port Analyzer (RSPAN) | Memungkinkan Anda memantau lalu lintas jaringan dari port sumber yang didistribusikan melalui beberapa sakelar fisik. RSPAN menyalin lalu lintas sumber ke VLAN khusus yang dikonfigurasi RSPAN. VLAN ini perlu dipotong ke sakelar lain yang terlibat. RSPAN bekerja di Lapisan 2. |
| Enkapsulated Remote Switch Port Analyzer (ERSPAN) | Teknologi milik Cisco yang bekerja di Layer 3. ERSPAN memungkinkan Anda memantau lalu lintas di seluruh sakelar tanpa perlu batang VLAN dan menggunakan enkapsulasi perutean generik (GRE) untuk menyalin lalu lintas jaringan yang dipantau. Defender untuk Identitas saat ini tidak dapat langsung menerima lalu lintas ERSPAN. Sebaliknya: 1. Konfigurasikan tujuan ERSPAN tempat lalu lintas didekapsulasikan sebagai sakelar atau router yang dapat memisahkan lalu lintas. 1. Konfigurasikan sakelar atau router untuk meneruskan lalu lintas yang didekapsulasi ke sensor mandiri Defender for Identity menggunakan SPAN atau RSPAN. |
Catatan
Jika pengendali domain yang dicerminkan port tersambung melalui tautan WAN, pastikan tautan WAN dapat menangani beban tambahan lalu lintas ERSPAN.
Defender for Identity hanya mendukung pemantauan lalu lintas ketika lalu lintas mencapai NIC dan pengendali domain dengan cara yang sama. Defender for Identity tidak mendukung pemantauan lalu lintas saat lalu lintas dipecah ke port yang berbeda.
Opsi pencerminan port yang didukung
Tabel berikut ini menjelaskan dukungan Defender for Identity untuk konfigurasi pencerminan port:
| Sensor mandiri Defender for Identity | Pengendali Domain | Pertimbangan |
|---|---|---|
| Virtual | Virtual pada host yang sama | Sakelar virtual perlu mendukung pencerminan port. Memindahkan salah satu komputer virtual ke host lain dengan sendirinya dapat merusak pencerminan port. |
| Virtual | Virtual pada host yang berbeda | Pastikan sakelar virtual Anda mendukung skenario ini. |
| Virtual | Fisik | Memerlukan adaptor jaringan khusus jika tidak, Defender for Identity melihat semua lalu lintas yang masuk dan keluar dari host, bahkan lalu lintas yang dikirimnya ke layanan cloud Defender for Identity. |
| Fisik | Virtual | Pastikan sakelar virtual Anda mendukung skenario ini - dan konfigurasi pencerminan port pada sakelar fisik Anda berdasarkan skenario: Jika host virtual berada pada sakelar fisik yang sama, Anda perlu mengonfigurasi rentang tingkat sakelar. Jika host virtual berada di sakelar yang berbeda, Anda perlu mengonfigurasi RSPAN atau ERSPAN*. |
| Fisik | Fisik pada sakelar yang sama | Sakelar fisik harus mendukung SPAN/Port Mirroring. |
| Fisik | Fisik pada sakelar yang berbeda | Memerlukan sakelar fisik untuk mendukung RSPAN atau ERSPAN ERSPAN hanya didukung ketika dekapsulasi dilakukan sebelum lalu lintas dianalisis oleh Defender for Identity. |
Catatan
Waktu pada pengontrol domain Anda dan sensor Defender for Identity yang terhubung harus disinkronkan dalam waktu 5 menit dari masing-masing.
Konten terkait
Untuk informasi selengkapnya, lihat: