Microsoft Defender untuk Identitas prasyarat sensor mandiri
Artikel ini mencantumkan prasyarat untuk menyebarkan sensor mandiri Microsoft Defender untuk Identitas di mana mereka berbeda dari prasyarat penyebaran utama.
Untuk informasi selengkapnya, lihat Merencanakan kapasitas untuk penyebaran Microsoft Defender untuk Identitas.
Penting
Sensor mandiri Defender for Identity tidak mendukung pengumpulan entri log Pelacakan Peristiwa untuk Windows (ETW) yang menyediakan data untuk beberapa deteksi. Untuk cakupan penuh lingkungan Anda, sebaiknya sebarkan sensor Defender for Identity.
Persyaratan sistem tambahan untuk sensor mandiri
Sensor mandiri berbeda dari prasyarat sensor Defender for Identity sebagai berikut:
Sensor mandiri membutuhkan minimal 5 GB ruang disk
Sensor mandiri juga dapat diinstal pada server yang berada dalam grup kerja.
Sensor mandiri dapat mendukung pemantauan beberapa pengontrol domain, tergantung pada jumlah lalu lintas jaringan ke dan dari pengontrol domain.
Jika Anda bekerja dengan beberapa forest, mesin sensor mandiri Anda harus diizinkan untuk berkomunikasi dengan semua pengontrol domain forest jarak jauh menggunakan LDAP.
Untuk informasi tentang menggunakan komputer virtual dengan sensor mandiri Defender for Identity, lihat Mengonfigurasi pencerminan port.
Adaptor jaringan untuk sensor mandiri
Sensor mandiri memerlukan setidaknya satu dari masing-masing adaptor jaringan berikut:
Adaptor manajemen - digunakan untuk komunikasi di jaringan perusahaan Anda. Sensor menggunakan adaptor ini untuk mengkueri DC yang melindungi dan melakukan resolusi ke akun komputer.
Konfigurasikan adaptor manajemen dengan alamat IP statis, termasuk gateway default, dan server DNS pilihan dan alternatif.
Akhiran DNS untuk koneksi ini harus menjadi nama DNS domain untuk setiap domain yang sedang dipantau.
Catatan
Jika sensor mandiri Defender for Identity adalah anggota domain, ini dapat dikonfigurasi secara otomatis.
Menangkap adaptor - digunakan untuk menangkap lalu lintas ke dan dari pengendali domain.
Penting
- Konfigurasikan pencerminan port untuk adaptor pengambilan sebagai tujuan lalu lintas jaringan pengendali domain. Biasanya, Anda perlu bekerja dengan tim jaringan atau virtualisasi untuk mengonfigurasi pencerminan port.
- Konfigurasikan alamat IP statis yang tidak dapat dirutekan (dengan /32 mask) untuk lingkungan Anda tanpa gateway sensor default dan tidak ada alamat server DNS. Misalnya: '10.10.0.10/32. Konfigurasi ini memastikan bahwa adaptor jaringan penangkapan dapat menangkap jumlah maksimum lalu lintas dan adaptor jaringan manajemen digunakan untuk mengirim dan menerima lalu lintas jaringan yang diperlukan.
Catatan
Jika Anda menjalankan Wireshark pada sensor mandiri Defender for Identity, hidupkan ulang layanan sensor Defender for Identity setelah Anda menghentikan pengambilan Wireshark. Jika Anda tidak memulai ulang layanan sensor, sensor akan berhenti menangkap lalu lintas.
Jika Anda mencoba menginstal sensor Defender for Identity pada komputer yang dikonfigurasi dengan adaptor NIC Teaming, Anda akan menerima kesalahan penginstalan. Jika Anda ingin menginstal sensor Defender for Identity pada komputer yang dikonfigurasi dengan tim NIC, lihat Masalah tim NIC sensor Defender for Identity.
Port untuk sensor mandiri
Tabel berikut mencantumkan port tambahan yang diperlukan sensor mandiri Defender for Identity yang dikonfigurasi pada adaptor manajemen, selain port yang tercantum untuk sensor Defender for Identity.
Protokol | Transportasi | Port | Dari | Untuk |
---|---|---|---|---|
Port internal | ||||
LDAP | TCP dan UDP | 389 | Sensor Pertahanan untuk Identitas | Pengendali domain |
LDAP Aman (LDAPS) | TCP | 636 | Sensor Pertahanan untuk Identitas | Pengendali domain |
LDAP ke Katalog Global | TCP | 3268 | Sensor Pertahanan untuk Identitas | Pengendali domain |
LDAPS ke Katalog Global | TCP | 3269 | Sensor Pertahanan untuk Identitas | Pengendali domain |
Kerberos | TCP dan UDP | 88 | Sensor Pertahanan untuk Identitas | Pengendali domain |
Waktu Windows | UDP | 123 | Sensor Pertahanan untuk Identitas | Pengendali domain |
Syslog (opsional) | TCP/UDP | 514, tergantung pada konfigurasi | SIEM Server | Sensor Pertahanan untuk Identitas |
Persyaratan log peristiwa Windows
Deteksi Pertahanan untuk Identitas bergantung pada log Peristiwa Windows tertentu yang diurai sensor dari pengontrol domain Anda. Agar peristiwa yang benar diaudit dan disertakan dalam log Peristiwa Windows, pengendali domain Anda memerlukan pengaturan Kebijakan Audit Tingkat Lanjut Windows yang akurat.
Untuk informasi selengkapnya, lihat Pemeriksaan kebijakan audit tingkat lanjut dan Kebijakan audit keamanan tingkat lanjut dalam dokumentasi Windows.
Untuk memastikan bahwa Windows Event 8004 diaudit sesuai kebutuhan oleh layanan, tinjau pengaturan audit NTLM Anda.
Untuk sensor yang berjalan di server AD FS / AD CS, konfigurasikan tingkat audit ke Verbose. Untuk informasi selengkapnya, lihat Informasi audit peristiwa untuk Layanan Federasi Direktori Aktif dan Informasi audit peristiwa untuk AD CS.