Capaciteit plannen voor implementatie van Microsoft Defender for Identity
In dit artikel wordt beschreven hoe u het hulpprogramma Microsoft Defender for Identity kunt gebruiken om te bepalen of uw domeincontrollerservers voldoende resources hebben voor een Microsoft Defender for Identity-sensor.
Hoewel de prestaties van de domeincontroller mogelijk niet worden beïnvloed als de server geen vereiste resources heeft, werkt de Defender for Identity-sensor mogelijk niet zoals verwacht. Zie Microsoft Defender for Identity-vereisten voor meer informatie.
Het formaatprogramma meet alleen de capaciteit die nodig is voor domeincontrollers. Het is niet nodig om het uit te voeren op AD FS / AD CS-servers, omdat de invloed op de prestaties op AD FS / AD CS-servers uiterst minimaal is om niet te bestaan.
Tip
Defender for Identity ondersteunt standaard maximaal 350 sensoren. Als u meer sensoren wilt installeren, neemt u contact op met de ondersteuning van Defender for Identity.
Vereisten
- Download het hulpprogramma Defender for Identity-formaat.
- Raadpleeg het artikel over de architectuur van Defender for Identity.
- Raadpleeg het artikel over vereisten voor Defender for Identity.
Voer het formaatprogramma alleen uit voordat u Defender for Identity-sensoren in uw omgeving hebt geïnstalleerd om nauwkeurige resultaten te garanderen.
Het formaatprogramma gebruiken
Voer het hulpprogramma Defender for Identity-grootte uit, TriSizingTool.exe, uit het zip-bestand dat u hebt gedownload.
Wanneer het hulpprogramma is uitgevoerd, opent u de resultaten van het Excel-bestand.
Zoek en selecteer in het Excel-bestand het azure ATP-overzichtsblad en controleer vervolgens de kolom Sensor ondersteund op resultaten die aangeven of uw server wordt ondersteund.
Bijvoorbeeld:
Notitie
Het andere blad in het bestand wordt gebruikt voor het plannen van Advanced Threat Analytics (ATA) en is niet nodig voor Defender for Identity.
Het formaatprogramma bepaalt of uw server wordt ondersteund op basis van de waarde Bezetpakketten/Tweede , die wordt berekend op basis van de 15 drukste minuten gedurende een periode van 24 uur.
Veelvoorkomende resultaten zijn:
| Resultaat | Beschrijving |
|---|---|
| Ja | De sensor wordt ondersteund op uw server |
| Ja, maar aanvullende resources vereist | De sensor wordt ondersteund op uw server zolang u opgegeven ontbrekende resources toevoegt. |
| Misschien | De huidige waarde bezetpakketten/seconde kan op dat moment aanzienlijk hoger zijn dan het gemiddelde. Controleer de tijdstempels om inzicht te hebben in de processen die op dat moment worden uitgevoerd en of u de bandbreedte voor deze processen onder normale omstandigheden kunt beperken. |
| Misschien, maar aanvullende resources vereist | De sensor kan op uw server worden ondersteund zolang u opgegeven ontbrekende resources toevoegt, of de pakketten Bezet/Seconde mogelijk hoger zijn dan 60.000. |
| Nee | De sensor wordt niet ondersteund op uw server. De huidige waarde bezetpakketten/seconde kan op dat moment aanzienlijk hoger zijn dan het gemiddelde. Controleer de tijdstempels om inzicht te hebben in de processen die op dat moment worden uitgevoerd en of u de bandbreedte voor deze processen onder normale omstandigheden kunt beperken. |
| Ontbrekende besturingssysteemgegevens | Er is een probleem opgetreden bij het lezen van de besturingssysteemgegevens. Zorg ervoor dat de verbinding met uw server extern een query kan uitvoeren op WMI. |
| Ontbrekende verkeersgegevens | Er is een probleem opgetreden bij het lezen van de verkeersgegevens. Zorg ervoor dat de verbinding met uw server externe prestatiemeteritems kan opvragen. |
| Ontbrekende RAM-gegevens | Er is een probleem opgetreden bij het lezen van de RAM-gegevens. Zorg ervoor dat de verbinding met uw server extern een query kan uitvoeren op WMI. |
| Ontbrekende kerngegevens | Er is een probleem opgetreden bij het lezen van de kerngegevens. Zorg ervoor dat de verbinding met uw server extern een query kan uitvoeren op WMI. |
In de volgende afbeelding ziet u bijvoorbeeld een reeks resultaten waarbij de waarde Bezetpakketten/Seconde mogelijkaanzienlijk hoger is dan het gemiddelde. Houd er rekening mee dat de weergave-DC-tijden als UTC/Lokaal is ingesteld op Lokale DC-tijd. Met deze instelling wordt het feit gemarkeerd dat de waarden rond 3:30 uur zijn genomen.
Geschatte grootte van Defender for Identity-sensor
In de volgende tabel ziet u de geschatte CPU- en RAM-capaciteit die nodig is voor een Defender for Identity-sensor, op basis van de typische hoeveelheid netwerkverkeer die door een domeincontroller wordt gegenereerd.
Deze tabel is een schatting. De uiteindelijke hoeveelheid die de sensor parseert, is afhankelijk van de hoeveelheid verkeer en de verdeling van het verkeer.
| Bezet pakketten / seconde | CPU (fysieke kernen) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2,50 |
| 1k-5k | 0.75 | 6,00 |
| 5k-10k | 1,00 | 6,50 |
| 10k-20k | 2.00 | 9,00 |
| 20k-50k | 3,50 | 9,50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13,50 |
In deze tabel:
CPU- en RAM-capaciteit verwijst naar het eigen verbruik van de sensor, niet naar de capaciteit van de domeincontroller.
CPU-capaciteit bevat geen hyperthreaded kernen. U wordt aangeraden niet te werken met hyperthreaded kernen, wat kan leiden tot statusproblemen in de Defender for Identity-sensor.
Houd bij het bepalen van de grootte rekening met het totale aantal kernen en de totale hoeveelheid geheugen die door de sensorservice wordt gebruikt.
Zie Resourcebeperkingen voor meer informatie.
Schatting van handmatige grootte voor domeincontrollers
Als u het formaatprogramma niet kunt gebruiken, kunt u handmatig schatten of uw domeincontrollerservers voldoende resources hebben voor een Defender for Identity-sensor.
Verzamel handmatig de gegevens van het pakket/tweede item van al uw domeincontrollers, meer dan 24 uur met een laag verzamelingsinterval, zoals 5 seconden. Voor elke domeincontroller berekent u het dagelijkse gemiddelde en de drukste periode (15 minuten).
Verschillende hulpprogramma's kunnen u helpen bij het detecteren van het gemiddelde pakket/het tweede teller voor uw domeincontroller. In deze procedure wordt een voorbeeld beschreven van het gebruik van Performance Monitor om de relevante informatie te verzamelen.
Open Prestatiemeter en vouw Gegevensverzamelaarsets uit.
Klik met de rechtermuisknop op Door de gebruiker gedefinieerd en selecteer Nieuwe > gegevensverzamelaarset.
Voer een beschrijvende naam in voor de collectorset en selecteer Handmatig maken (Geavanceerd).
Selecteer onder Welk type gegevens wilt u opnemen?, selecteer Gegevenslogboeken maken en Prestatiemeteritem.
Vouw netwerkadapter uit en selecteer pakketten per seconde en de relevante werkruimte. Als u niet zeker weet welke werkruimte u wilt selecteren, selecteert u <Alle werkruimten>. Selecteer OK toevoegen>om de stap te voltooien.
Als u deze stap ook uitvoert vanaf de opdrachtregel, voert u deze uit
ipconfig /allom de naam en configuratie van de adapter te zien.Wijzig het voorbeeldinterval in vijf seconden en definieer waar u de gegevens wilt opslaan.
Selecteer onder De gegevensverzamelaarset maken de optie Deze gegevensverzamelaarset nu>voltooien.
U ziet nu de gegevensverzamelaarset die u hebt gemaakt met een groene driehoek die aangeeft dat deze werkt.
Stop na 24 uur de gegevensverzamelaarset. Klik met de rechtermuisknop op de gegevensverzamelaarset en selecteer Stoppen.
Blader in Bestandenverkenner naar de map waarin het BLG-bestand is opgeslagen. Dubbelklik erop om deze te openen in Prestatiemeter.
Selecteer de teller Pakketten per seconde en noteer de gemiddelde en maximumwaarden.
Notitie
Defender for Identity ondersteunt standaard maximaal 350 sensoren. Als u meer sensoren wilt installeren, neemt u contact op met de ondersteuning van Defender for Identity.