Poortspiegeling configureren
Dit artikel is alleen relevant als u Microsoft Defender for Identity zelfstandige sensoren implementeert in plaats van Defender for Identity-sensoren.
Notitie
Zelfstandige defender for Identity-sensoren bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens voor meerdere detecties leveren. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
De belangrijkste gegevensbron die door Defender for Identity wordt gebruikt, is grondige pakketinspectie van het netwerkverkeer van en naar uw domeincontrollers. Defender for Identity kan het netwerkverkeer alleen zien als u poortspiegeling configureert of een netwerk-TAP gebruikt.
Configureer voor poortspiegeling Poortspiegeling als de bron van het netwerkverkeer voor elke domeincontroller die u wilt bewaken. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren. Zie de documentatie van uw leverancier voor meer informatie.
Uw domeincontrollers en de zelfstandige Defender for Identity-sensor kunnen fysiek of virtueel zijn. Hier volgen veelgebruikte methoden voor het spiegelen van poorten, evenals enkele afwegingen. Zie de productdocumentatie voor uw switch of virtualisatieserver voor meer informatie. De fabrikant van de switch gebruikt mogelijk andere terminologie.
Switched Port Analyzer (SPAN): kopieert netwerkverkeer vanaf een of meer switchpoorten naar een andere switchpoort op dezelfde switch. Zowel de zelfstandige sensor van Defender for Identity als de domeincontrollers moeten zijn verbonden met dezelfde fysieke switch.
Remote Switch Port Analyzer (RSPAN): hiermee kunt u netwerkverkeer bewaken vanaf bronpoorten verdeeld over meerdere fysieke switches. RSAPN kopieert het bronverkeer naar een speciale voor RSPAN geconfigureerde VLAN. Deze VLAN moet worden gekoppeld aan andere switches die erbij betrokken zijn. RSPAN werkt op Laag 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN): dit is een technologie van Cisco die werkt op Laag 3. Met ERSPAN kunt u netwerkverkeer tussen switches bewaken zonder VLAN-transmissielijnen. ERSPAN maakt gebruik van Generic Routing Encapsulation (GRE) voor het kopiƫren van bewaakt netwerkverkeer. Defender for Identity kan momenteel geen RECHTSTREEKS ERSPAN-verkeer ontvangen. Defender for Identity werkt alleen met ERSPAN-verkeer als een switch of router die het verkeer kan ontkapselen, wordt geconfigureerd als de bestemming van ERSPAN waar het verkeer wordt gedecapsuleerd. Configureer vervolgens de switch of router om het gedecapsuleerde verkeer door te sturen naar de zelfstandige Defender for Identity-sensor met behulp van SPAN of RSPAN.
Notitie
Als de domeincontroller waarvan de poort wordt gespiegeld, is verbonden via een WAN-verbinding, zorgt u ervoor dat de WAN-verbinding de extra belasting van het ERSPAN-verkeer kan verwerken. Defender for Identity ondersteunt alleen verkeersbewaking wanneer het verkeer op dezelfde manier de NIC en de domeincontroller bereikt. Defender for Identity biedt geen ondersteuning voor verkeersbewaking wanneer het verkeer naar verschillende poorten wordt verdeeld.
Ondersteunde opties voor poortspiegeling
| Zelfstandige Defender for Identity-sensor | Domeincontroller | Overwegingen |
|---|---|---|
| Virtueel | Virtueel op dezelfde host | De virtuele switch moet poortspiegeling ondersteunen. Als u een van de virtuele machines zichzelf naar een andere host laat verplaatsen, zorgt dit er mogelijk voor dat de poortspiegeling niet meer werkt. |
| Virtueel | Virtueel op verschillende hosts | Zorg ervoor dat uw virtuele switch ondersteuning biedt voor dit scenario. |
| Virtueel | Fysiek | Vereist een toegewezen netwerkadapter, anders ziet Defender for Identity al het verkeer dat van en naar de host komt, zelfs het verkeer dat naar de Defender for Identity-cloudservice wordt verzonden. |
| Fysiek | Virtueel | Zorg ervoor dat uw virtuele switch dit scenario ondersteunt, evenals de poortspiegelingconfiguratie van uw fysieke switches op basis van dit scenario: Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een bereik op switchniveau configureren. Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN* configureren. |
| Fysiek | Fysiek op dezelfde switch | De fysieke switch moet ondersteuning bieden voor SPAN/poortspiegeling. |
| Fysiek | Fysiek op een andere switch | Vereist fysieke switches ter ondersteuning van RSPAN of ERSPAN*. |
* ERSPAN wordt alleen ondersteund wanneer decapsulatie wordt uitgevoerd voordat het verkeer wordt geanalyseerd door Defender for Identity.
Notitie
Zorg ervoor dat de tijd van domeincontrollers en de zelfstandige Defender for Identity-sensor waarmee ze verbinding maken, binnen vijf minuten van elkaar zijn gesynchroniseerd.
Als u met virtualisatieclusters werkt:
Voor elke domeincontroller die wordt uitgevoerd op het virtualisatiecluster in een virtuele machine met de zelfstandige Defender for Identity-sensor, configureert u affiniteit tussen de domeincontroller en de zelfstandige Defender for Identity-sensor. Op deze manier wordt de zelfstandige Defender for Identity-sensor gevolgd wanneer de domeincontroller naar een andere host in het cluster wordt verplaatst. Deze methode is zeer geschikt als er meerdere domeincontrollers zijn.
Notitie
Als uw omgeving ondersteuning biedt voor virtueel naar virtueel op verschillende hosts (RSPAN), hoeft u zich geen zorgen te maken over de affiniteit.
Als u ervoor wilt zorgen dat de zelfstandige Defender for Identity-sensor de juiste grootte heeft om alle DC's zelf te kunnen bewaken, probeert u deze optie: Installeer een virtuele machine op elke virtualisatiehost en installeer een zelfstandige Defender for Identity-sensor op elke host. Configureer elke zelfstandige Defender for Identity-sensor om alle domeincontrollers te bewaken die op het cluster worden uitgevoerd. Op deze manier wordt elke host waarop de domeincontrollers worden uitgevoerd, bewaakt.
Nadat u poortspiegeling hebt geconfigureerd, controleert u of poortspiegeling werkt voordat u de zelfstandige Defender for Identity-sensor installeert.