ポート ミラーリングを構成する
この記事では、Microsoft Defender for Identity のポート ミラーリングのオプションについて説明します。これはスタンドアロン センサーにのみ関連します。 Defender for Identity で主に使用されるのは、ドメイン コントローラーとの間のネットワーク トラフィックのディープ パケット インスペクションです。 Defender for Identity スタンドアロン センサーがネットワーク トラフィックを監視できるようにするには、ポート ミラーリングを構成するか、ネットワーク TAP を使用する必要があります。 ポート ミラーリングは、あるポート (送信元ポート) から別のポート (宛先ポート) にトラフィックをコピーします。
ポート ミラーリングを使用する場合、監視する各ドメイン コントローラーのポート ミラーリングをネットワーク トラフィックのソースとして構成します。 ポート ミラーリングを構成する際は、ネットワーク チームまたは仮想化チームと協力することをお勧めします。
重要
Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。
ポート ミラーリングの方法を選択する
ドメイン コントローラーと Defender for Identity スタンドアロン センサーは、物理または仮想のいずれかになります。 以下は、一般的なポート ミラーリングの方法と考慮事項の一部です。 詳細については、スイッチまたは仮想化サーバーに関する製品マニュアルを参照してください。 スイッチの製造元で使用される用語が異なる場合があります。
| メソッド | 説明 |
|---|---|
| スイッチド ポート アナライザー (SPAN) | 同じスイッチ上の 1 つ以上のスイッチ ポートから別のスイッチ ポートにネットワーク トラフィックをコピーします。 Defender for Identity スタンドアロン センサーとドメイン コントローラーの両方を同じ物理スイッチに接続する必要があります。 |
| リモート スイッチ ポート アナライザー (RSPAN) | 複数の物理スイッチに分散したソース ポートからネットワーク トラフィックを監視できるようにします。 RSPAN は、ソース トラフィックを特別な RSPAN 構成 VLAN にコピーします。 この VLAN は、関係する他のスイッチにトランキングする必要があります。 RSPAN はレイヤー 2 で動作します。 |
| カプセル化されたリモート スイッチ ポート アナライザー (ERSPAN) | レイヤ 3 で動作する Cisco 独自の技術です。 ERSPAN を使用すると、VLAN トランクを必要とせずにスイッチ間のトラフィックを監視でき、Generic Routing Encapsulation (GRE) を使用して監視対象のネットワーク トラフィックをコピーできます。 Defender for Identity は現在、ERSPAN トラフィックを直接受信できません。 その代わりに、次の方法を使用します。 1. トラフィックのカプセル化を解除する ERSPAN の宛先を、トラフィックをカプセル化解除できるスイッチまたはルーターとして構成します。 1. SPAN または RSPAN を使用して、カプセル化解除されたトラフィックを Defender for Identity スタンドアロン センサーに転送するようにスイッチまたはルーターを構成します。 |
Note
ポート ミラーされている ドメイン コントローラーが WAN リンク経由で接続されている場合は、WAN リンクが ERSPAN トラフィックの追加の負荷を処理できることを確認します。
Defender for Identity では、トラフィックが NICドメイン コントローラーに到達したときのトラフィック監視のみがサポートされます。 Defender for Identity では、トラフィックが異なるポートに分割されたときのトラフィック監視はサポートされません。
サポートされているポート ミラーリング オプション
次の表で、Defender for Identity でサポートされるポート ミラーリング構成について説明します。
| Defender for Identity スタンドアロン センサー | ドメイン コントローラー | 考慮事項 |
|---|---|---|
| 仮想 | 同じホスト上の仮想 | 仮想スイッチは、ポート ミラーリングをサポートする必要があります。 仮想マシンの 1 つを別のホストに単独で移動すると、ポート ミラーリングが壊れる場合があります。 |
| 仮想 | 異なるホスト上の仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。 |
| 仮想 | 物理 | 専用のネットワーク アダプターが必要な場合、Defender for Identity は、ホストとの間で送受信されるすべてのトラフィック (Defender for Identity クラウド サービスに送信されるトラフィックも含む) を確認します。 |
| 物理 | 仮想 | 仮想スイッチでこのシナリオがサポートされていることを確認します。また、シナリオに基づいて、物理スイッチのポート ミラーリング構成がサポートされていることを確認します。 仮想ホストが同じ物理スイッチ上にある場合は、スイッチ レベル スパンを構成する必要があります。 仮想ホストが別のスイッチ上にある場合は、RSPAN または ERSPAN* を構成する必要があります。 |
| 物理 | 同じスイッチ上の物理 | 物理スイッチは SPAN/ポート ミラーリングをサポートする必要があります。 |
| 物理 | 別のスイッチの物理 | RSPAN または ERSPAN をサポートするには、物理スイッチが必要です。 ERSPAN は、トラフィックが Defender for Identity によって分析される前にカプセル化解除が実行された場合にのみサポートされます。 |
Note
ドメイン コントローラーおよび接続された Defender for Identity センサーの時刻は、互いに 5 分以内に同期される必要があります。
関連するコンテンツ
より詳しくは、以下を参照してください: