Microsoft Defender for Identity 배포에 대한 용량 계획
이 문서에서는 Microsoft Defender for Identity 크기 조정 도구를 사용하여 do기본 컨트롤러 서버에 Microsoft Defender for Identity 센서에 대한 충분한 리소스가 있는지 여부를 확인하는 방법을 설명합니다.
서버에 필요한 리소스가 없는 경우 기본 컨트롤러 성능이 영향을 받지 않을 수 있지만 Defender for Identity 센서가 예상대로 작동하지 않을 수 있습니다. 자세한 내용은 Microsoft Defender for Identity 필수 구성 요소를 참조하세요.
크기 조정 도구는 할 일기본 컨트롤러에 필요한 용량만 측정합니다. AD FS/AD CS 서버에 대한 성능 영향이 매우 최소화되어 존재하지 않으므로 AD FS/AD CS 서버에 대해 실행할 필요가 없습니다.
팁
기본적으로 Defender for Identity는 최대 350개의 센서를 지원합니다. 더 많은 센서를 설치하려면 Defender for Identity 지원에 문의하세요.
필수 조건
- Defender for Identity 크기 조정 도구를 다운로드합니다.
- Defender for Identity 아키텍처 문서를 검토하세요.
- Defender for Identity 필수 구성 요소 문서를 검토하세요.
정확한 결과를 보장하려면 사용자 환경에 Defender for Identity 센서를 설치하기 전에 크기 조정 도구만 실행합니다.
크기 조정 도구 사용
다운로드한 zip 파일에서 TriSizingTool.exe Defender for Identity 크기 조정 도구를 실행합니다.
도구 실행이 완료되면 Excel 파일 결과를 엽니다.
Excel 파일에서 Azure ATP 요약 시트를 찾아 선택한 다음 서버가 지원되는지 여부를 나타내는 결과에 대해 센서 지원 열을 검사.
예시:
참고 항목
파일의 다른 시트는 ATA(Advanced Threat Analytics) 계획에 사용되며 Defender for Identity에는 필요하지 않습니다.
크기 조정 도구는 24시간 동안 가장 바쁜 15분을 기준으로 계산되는 사용 중인 패킷/초 값에 따라 서버가 지원되는지 여부를 결정합니다.
일반적인 결과는 다음과 같습니다.
결과 | 설명 |
---|---|
예 | 서버에서 센서가 지원됩니다. |
예, 하지만 추가 리소스가 필요합니다. | 지정된 누락된 리소스를 추가하는 한 서버에서 센서가 지원됩니다. |
가능할 수도 있음 | 현재 사용 중인 패킷/초 값은 해당 시점에서 평균보다 훨씬 높을 수 있습니다. 타임스탬프를 확인하여 해당 시간에 실행 중인 프로세스와 정상적인 상황에서 해당 프로세스의 대역폭을 제한할 수 있는지 여부를 파악합니다. |
어쩌면, 하지만 추가 리소스 필요 | 지정된 누락된 리소스 를 추가하는 한 서버에서 센서가 지원되거나 사용 중인 패킷/초 가 60K를 초과할 수 있습니다. |
문제 | 서버에서 센서가 지원되지 않습니다. 현재 사용 중인 패킷/초 값은 해당 시점에서 평균보다 훨씬 높을 수 있습니다. 타임스탬프를 확인하여 해당 시간에 실행 중인 프로세스와 정상적인 상황에서 해당 프로세스의 대역폭을 제한할 수 있는지 여부를 파악합니다. |
OS 데이터 누락 | 운영 체제 데이터를 읽는 동안 문제가 발생했습니다. 서버에 대한 연결이 WMI를 원격으로 쿼리할 수 있는지 확인합니다. |
누락된 트래픽 데이터 | 트래픽 데이터를 읽는 동안 문제가 발생했습니다. 서버에 대한 연결이 성능 카운터를 원격으로 쿼리할 수 있는지 확인합니다. |
RAM 데이터 누락 | RAM 데이터를 읽는 동안 문제가 발생했습니다. 서버에 대한 연결이 WMI를 원격으로 쿼리할 수 있는지 확인합니다. |
핵심 데이터 누락 | 핵심 데이터를 읽는 데 문제가 있었습니다. 서버에 대한 연결이 WMI를 원격으로 쿼리할 수 있는지 확인합니다. |
예를 들어 다음 이미지는 약속 있음 패킷/초 값이 해당 지점에서 평균보다 훨씬 높다는 것을 나타내는 결과 집합을 보여 줍니다. DC 시간을 UTC/로컬로 표시하면 로컬 DC 시간으로 설정됩니다. 이 설정은 값이 오전 3시 30분경에 수행되었다는 사실을 강조 표시하는 데 도움이 됩니다.
Defender for Identity 센서 예상 크기 조정
다음 표에서는 do기본 컨트롤러에서 생성된 일반적인 네트워크 트래픽 양에 따라 Defender for Identity 센서에 필요한 예상 CPU 및 RAM 용량을 보여 줍니다.
이 테이블은 예측값입니다. 센서가 구문 분석하는 최종 양은 트래픽의 양과 트래픽 분포에 따라 달라집니다.
사용 중인 패킷/초 | CPU(물리적 코어) | RAM(GB) |
---|---|---|
0-1k | 0.25 | 2.50 |
1k-5k | 0.75 | 6.00 |
5k-10k | 1.00 | 6.50 |
10k-20k | 2.00 | 9.00 |
20k-50k | 3.50 | 9.50 |
50k-75k | 5.50 | 11.50 |
75k-100k | 7.50 | 13.50 |
이 표에서:
CPU 및 RAM 용량은 do기본 컨트롤러 용량이 아니라 센서의 자체 사용량을 나타냅니다.
CPU 용량에는 하이퍼 스레드 코어가 포함되지 않습니다. Defender for Identity 센서에서 상태 문제가 발생할 수 있는 하이퍼 스레드 코어를 사용하지 않는 것이 좋습니다.
크기 조정을 결정할 때는 센서 서비스에서 사용할 총 코어 수와 총 메모리 양을 염두에 두어야 합니다.
자세한 내용은 리소스 제한을 참조 하세요.
do기본 컨트롤러에 대한 수동 크기 조정 예측
크기 조정 도구를 사용할 수 없는 경우 do기본 컨트롤러 서버에 Defender for Identity 센서에 대한 충분한 리소스가 있는지 여부를 수동으로 예측할 수 있습니다.
5초와 같은 낮은 컬렉션 간격으로 24시간 이상 모든 할기본 컨트롤러에서 패킷/초 카운터 정보를 수동으로 수집합니다. 각 do기본 컨트롤러에 대해 일일 평균 및 가장 바쁜 기간(15분) 평균을 계산합니다.
다양한 도구를 사용하여 할 일기본 컨트롤러의 평균 패킷/초 카운터를 검색할 수 있습니다. 이 절차에서는 성능 모니터 사용하여 관련 정보를 수집하는 방법의 예를 설명합니다.
성능 모니터 열고 데이터 수집기 집합을 확장합니다.
사용자 정의를 마우스 오른쪽 단추로 클릭하고 새 > 데이터 수집기 집합을 선택합니다.
수집기 집합의 의미 있는 이름을 입력하고 수동으로 만들기(고급)를 선택합니다.
어떤 유형의 데이터를 포함하시겠습니까?에서 데이터 로그 만들기 및 성능 카운터를 선택합니다.
네트워크 어댑터를 확장한 다음 Packets/sec 및 관련 작업 영역을 선택합니다. 선택할 작업 영역을 잘 모르는 경우 모든 작업 영역을> 선택합니다<. 확인 추가>를 선택하여 단계를 완료합니다.
또는 명령줄에서 이 단계를 수행하는 경우 실행
ipconfig /all
하여 어댑터 이름과 구성을 확인합니다.샘플 간격을 5초로 변경하고 데이터를 저장할 위치를 정의합니다.
데이터 수집기 집합 만들기에서 이 데이터 수집기 집합 시작 지금>마침을 선택합니다.
이제 작업 중임을 나타내는 녹색 삼각형으로 만든 데이터 수집기 집합이 표시됩니다.
24시간 후에 데이터 수집기 집합을 중지합니다. 데이터 수집기 집합을 마우스 오른쪽 단추로 클릭하고 중지를 선택합니다.
파일 탐색기 .blg 파일이 저장된 폴더로 찾습니다. 두 번 클릭하여 성능 모니터 엽니다.
Packets/sec 카운터를 선택하고 평균 및 최대값을 기록합니다.
참고 항목
기본적으로 Defender for Identity는 최대 350개의 센서를 지원합니다. 센서를 더 설치하려는 경우 Defender for Identity 고객 지원에 문의하세요.