Pianificare la capacità per la distribuzione di Microsoft Defender per identità
Questo articolo descrive come usare lo strumento di ridimensionamento Microsoft Defender per identità per determinare se i server controller di dominio dispongono di risorse sufficienti per un sensore Microsoft Defender per identità.
Anche se le prestazioni del controller di dominio potrebbero non essere interessate se il server non dispone di risorse necessarie, il sensore Defender per identità potrebbe non funzionare come previsto. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.
Lo strumento di ridimensionamento misura solo la capacità necessaria per i controller di dominio. Non è necessario eseguirlo nei server AD FS/Servizi certificati Active Directory, perché l'impatto sulle prestazioni sui server AD FS/Servizi certificati Active Directory è estremamente minimo da non esistere.
Suggerimento
Per impostazione predefinita, Defender per identità supporta fino a 350 sensori. Per installare più sensori, contattare il supporto di Defender per identità.
Prerequisiti
- Scaricare lo strumento di ridimensionamento di Defender per identità.
- Vedere l'articolo Architettura di Defender per identità.
- Vedere l'articolo Prerequisiti di Defender per identità.
Per garantire risultati accurati, eseguire lo strumento di ridimensionamento solo prima di aver installato i sensori di Defender per identità nell'ambiente in uso.
Usare lo strumento di ridimensionamento
Eseguire lo strumento di ridimensionamento di Defender per identità, TriSizingTool.exe, dal file ZIP scaricato.
Al termine dell'esecuzione dello strumento, aprire i risultati del file di Excel.
Nel file di Excel individuare e selezionare il foglio Di riepilogo di Azure ATP e quindi controllare la colonna Sensor Supported (Sensore supportato ) per individuare i risultati che indicano se il server è supportato.
Ad esempio:
Nota
L'altro foglio nel file viene usato per la pianificazione di Advanced Threat Analytics (ATA) e non è necessario per Defender per identità.
Lo strumento di ridimensionamento determina se il server è supportato in base al valore Busy Packets/Second , calcolato in base ai 15 minuti più trafficato in un periodo di 24 ore.
I risultati comuni includono:
| Risultato | Descrizione |
|---|---|
| Sì | Il sensore è supportato nel server |
| Sì, ma sono necessarie risorse aggiuntive | Il sensore è supportato nel server finché si aggiungono risorse mancanti specificate. |
| Forse | Il valore corrente pacchetti occupato/secondo può essere significativamente superiore a quel punto rispetto alla media. Controllare i timestamp per comprendere i processi in esecuzione in quel momento e se è possibile limitare la larghezza di banda per tali processi in circostanze normali. |
| Forse, ma sono necessarie risorse aggiuntive | Il sensore può essere supportato nel server purché si aggiungono risorse mancanti specificate oppure i pacchetti occupato/Secondo potrebbero essere superiori a 60.000 |
| No | Il sensore non è supportato nel server. Il valore corrente pacchetti occupato/secondo può essere significativamente superiore a quel punto rispetto alla media. Controllare i timestamp per comprendere i processi in esecuzione in quel momento e se è possibile limitare la larghezza di banda per tali processi in circostanze normali. |
| Dati del sistema operativo mancanti | Si è verificato un problema durante la lettura dei dati del sistema operativo. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
| Dati sul traffico mancanti | Si è verificato un problema durante la lettura dei dati del traffico. Assicurarsi che la connessione al server sia in grado di eseguire query sui contatori delle prestazioni in remoto. |
| Dati di RAM mancanti | Si è verificato un problema durante la lettura dei dati della RAM. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
| Dati principali mancanti | Si è verificato un problema durante la lettura dei dati principali. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
Ad esempio, l'immagine seguente mostra un set di risultati in cui il valore Forse indica che il valore Busy Packets/Second è significativamente superiore a quel punto rispetto alla media. Si noti che l'ora del controller di dominio di visualizzazione come UTC/locale è impostata su Ora controller di dominio locale. Questa impostazione consente di evidenziare il fatto che i valori sono stati acquisiti intorno alle 3:30.
Dimensionamento stimato del sensore defender per identità
La tabella seguente illustra la capacità stimata di CPU e RAM necessaria per un sensore defender per identità, in base alla quantità tipica di traffico di rete generato da un controller di dominio.
Questa tabella è una stima. La quantità finale analizzata dal sensore dipende dalla quantità di traffico e dalla distribuzione del traffico.
| Pacchetti occupati/secondo | CPU (core fisici) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6,00 |
| 5k-10k | 1,00 | 6,50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5,50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
In questa tabella:
La capacità della CPU e della RAM si riferisce al consumo del sensore, non alla capacità del controller di dominio.
La capacità della CPU non include core con hyperthreading. È consigliabile non usare core con hyperthreading, che possono causare problemi di integrità nel sensore Defender per identità.
Quando si determina il dimensionamento, tenere presente il numero totale di core e la quantità totale di memoria che verrà usata dal servizio sensore.
Per altre informazioni, vedere Limitazioni delle risorse.
Stima del ridimensionamento manuale per i controller di dominio
Se non è possibile usare lo strumento di ridimensionamento, è possibile stimare manualmente se i server controller di dominio dispongono di risorse sufficienti per un sensore defender per identità.
Raccogliere manualmente le informazioni del contatore del pacchetto/secondo da tutti i controller di dominio, oltre 24 ore con un intervallo di raccolta basso, ad esempio 5 secondi. Per ogni controller di dominio, calcolare la media giornaliera e la media del periodo più trafficato (15 minuti).
Vari strumenti consentono di individuare il contatore medio di pacchetti/secondi per il controller di dominio. Questa procedura descrive un esempio di come usare Monitor prestazioni per raccogliere le informazioni pertinenti.
Aprire Monitor prestazioni ed espandere Set di agenti di raccolta dati.
Fare clic con il pulsante destro del mouse su Definito dall'utente e scegliere Nuovo > set di agenti di raccolta dati.
Immettere un nome significativo per il set di agenti di raccolta e selezionare Crea manualmente (avanzate).
In Quale tipo di dati includere? selezionare Crea log dati e Contatore delle prestazioni.
Espandere Scheda di rete e quindi selezionare Pacchetti/sec e l'area di lavoro pertinente. Se non si è certi dell'area di lavoro da selezionare, selezionare <Tutte le> aree di lavoro. Selezionare Aggiungi>OK per completare il passaggio.
In alternativa, se si esegue questo passaggio dalla riga di comando, eseguire
ipconfig /allper visualizzare il nome e la configurazione dell'adapter.Modificare l'intervallo di esempio impostando cinque secondi e definire la posizione in cui salvare i dati.
In Create the data collector set (Crea set di agenti di raccolta dati) selezionare Start this data collector set now Finish (Avvia questo insieme di agenti di raccolta dati) ora>Finish (Fine).
Verrà ora visualizzato il set di agenti di raccolta dati creato con un triangolo verde che indica che funziona.
Dopo 24 ore, arrestare il set di agenti di raccolta dati. Fare clic con il pulsante destro del mouse sul set di agenti di raccolta dati e scegliere Arresta.
In Esplora file passare alla cartella in cui è stato salvato il file blg. Fare doppio clic su di esso per aprirlo in Monitor prestazioni.
Selezionare il contatore Pacchetti/sec e registrare i valori medi e massimi.
Nota
Per impostazione predefinita, Defender per identità supporta fino a 350 sensori. Per installare più sensori, contattare il supporto tecnico di Defender per identità.