Vereisten voor zelfstandige sensor van Microsoft Defender for Identity
In dit artikel vindt u de vereisten voor het implementeren van een zelfstandige sensor van Microsoft Defender for Identity, waarbij deze verschillen van de belangrijkste implementatievereisten.
Zie Capaciteit plannen voor de implementatie van Microsoft Defender for Identity voor meer informatie.
Belangrijk
Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
Extra systeemvereisten voor zelfstandige sensoren
Zelfstandige sensoren verschillen als volgt van de vereisten voor Defender for Identity-sensor:
Zelfstandige sensoren vereisen minimaal 5 GB schijfruimte
Zelfstandige sensoren kunnen ook worden geïnstalleerd op servers die zich in een werkgroep bevinden.
Zelfstandige sensoren kunnen ondersteuning bieden voor het bewaken van meerdere domeincontrollers, afhankelijk van de hoeveelheid netwerkverkeer van en naar de domeincontrollers.
Als u met meerdere forests werkt, moeten uw zelfstandige sensormachines met behulp van LDAP met alle externe forestdomeincontrollers kunnen communiceren.
Zie Poortspiegeling configureren voor meer informatie over het gebruik van virtuele machines met de zelfstandige Defender for Identity-sensor.
Netwerkadapters voor zelfstandige sensoren
Zelfstandige sensoren vereisen ten minste één van de volgende netwerkadapters:
Beheeradapters : gebruikt voor communicatie op uw bedrijfsnetwerk. De sensor gebruikt deze adapter om een query uit te voeren op de domeincontroller die het beveiligt en de oplossing uitvoert voor computeraccounts.
Configureer beheeradapters met statische IP-adressen, waaronder een standaardgateway en voorkeurs- en alternatieve DNS-servers.
Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.
Notitie
Als de zelfstandige Defender for Identity-sensor lid is van het domein, kan dit automatisch worden geconfigureerd.
Capture-adapter : wordt gebruikt om verkeer van en naar de domeincontrollers vast te leggen.
Belangrijk
- Configureer poortspiegeling voor de capture-adapter als de bestemming van het netwerkverkeer van de domeincontroller. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren.
- Configureer een statisch, niet-routeerbaar IP-adres (met /32 masker) voor uw omgeving zonder standaardsensorgateway en geen DNS-serveradressen. Bijvoorbeeld: '10.10.0.10/32. Deze configuratie zorgt ervoor dat de capture-netwerkadapter de maximale hoeveelheid verkeer kan vastleggen en dat de beheernetwerkadapter wordt gebruikt voor het verzenden en ontvangen van het vereiste netwerkverkeer.
Notitie
Als u Wireshark uitvoert op de zelfstandige sensor van Defender for Identity, start u de Defender for Identity-sensorservice opnieuw nadat u de Wireshark-opname hebt gestopt. Als u de sensorservice niet opnieuw opstart, stopt de sensor met het vastleggen van verkeer.
Als u de Defender for Identity-sensor probeert te installeren op een computer die is geconfigureerd met een NIC-koppelingsadapter, ontvangt u een installatiefout. Als u de Defender for Identity-sensor wilt installeren op een computer die is geconfigureerd met NIC-koppeling, raadpleegt u het koppelingsprobleem met Defender for Identity Sensor NIC.
Poorten voor zelfstandige sensoren
De volgende tabel bevat de extra poorten die de zelfstandige Defender for Identity-sensor vereist op de beheeradapter, naast poorten die worden vermeld voor de Defender for Identity-sensor.
| Protocol | Transport | Haven | Vanaf | Tot |
|---|---|---|---|---|
| Interne poorten | ||||
| LDAP | TCP en UDP | 389 | Defender for Identity-sensor | Domeincontrollers |
| Secure LDAP (LDAPS) | TCP | 636 | Defender for Identity-sensor | Domeincontrollers |
| LDAP naar globale catalogus | TCP | 3268 | Defender for Identity-sensor | Domeincontrollers |
| LDAPS naar globale catalogus | TCP | 3269 | Defender for Identity-sensor | Domeincontrollers |
| Kerberos | TCP en UDP | 88 | Defender for Identity-sensor | Domeincontrollers |
| Windows Time | UDP | 123 | Defender for Identity-sensor | Domeincontrollers |
| Syslog (optioneel) | TCP/UDP | 514, afhankelijk van de configuratie | SIEM-server | Defender for Identity-sensor |
Vereisten voor Windows-gebeurtenislogboeken
Defender for Identity-detectie is afhankelijk van specifieke Windows-gebeurtenislogboeken die de sensor parseert van uw domeincontrollers. Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, vereisen uw domeincontrollers nauwkeurige instellingen voor Het geavanceerde controlebeleid van Windows.
Zie Geavanceerde controlebeleidscontrole en Geavanceerd beveiligingscontrolebeleid in de Windows-documentatie voor meer informatie.
Controleer uw NTLM-controle-instellingen om ervoor te zorgen dat Windows Event 8004 indien nodig door de service wordt gecontroleerd.
Voor sensoren die worden uitgevoerd op AD FS-/AD CS-servers, configureert u het controleniveau op Uitgebreid. Zie informatie over gebeurteniscontrole voor AD FS en informatie over gebeurteniscontrole voor AD CS voor meer informatie.