Configurar o espelhamento de porta

este artigo só será relevante se você implantar Microsoft Defender para Identidade sensores autônomos em vez do Defender para sensores de identidade.

Observação

Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

A fonte de dados principal usada pelo defender for Identity é uma inspeção profunda de pacotes do tráfego de rede de e para seus controladores de domínio. Para o defender for Identity ver o tráfego de rede, você deve configurar o espelhamento de porta ou usar um toque de rede.

Para o espelhamento de porta, configure espelhamento de porta para cada controlador de domínio a ser monitorado, como a origem do tráfego de rede. Normalmente, você precisa trabalhar com a equipe de virtualização ou de rede para configurar o espelhamento de porta. Para saber mais, veja a documentação do fornecedor.

Os controladores de domínio e o defender do sensor autônomo de identidade podem ser físicos ou virtuais. Veja a seguir métodos comuns de espelhamento de porta e algumas considerações. Para saber mais, veja a documentação de produtos para servidores de virtualização ou comutador. O fabricante do comutador pode usar terminologias distintas.

Switched Port Analyzer (SPAN) – Copia o tráfego de rede de uma ou mais portas de comutador para outra porta de comutador no mesmo comutador. O sensor autônomo do defender para identidade e os controladores de domínio devem estar conectados ao mesmo comutador físico.

O RSPAN (Remote switch Port Analyzer) – permite monitorar o tráfego de rede das portas de origem distribuídas em vários comutadores físicos. O RSPAN copia o tráfego de origem em uma VLAN especial configurada com RSPAN. Essa VLAN precisa ser truncada com os outros comutadores envolvidos. RSPAN funciona na Camada 2.

Encapsulated Remote Switch Port Analyzer (ERSPAN) – É uma tecnologia da Cisco que funciona na Camada 3. O ERSPAN permite que você monitore o tráfego entre comutadores, sem a necessidade de troncos de VLAN. O ERSPAN usa o recurso GRE (encapsulamento de roteamento genérico) para copiar o tráfego de rede monitorado. O defender for Identity atualmente não pode receber diretamente o tráfego ERSPAN. Para que o defender for Identity funcione com o tráfego ERSPAN, um comutador ou roteador que pode desencapsular o tráfego precisa ser configurado como o destino de ERSPAN onde o tráfego é desencapsulado. Em seguida, configure o comutador ou roteador para encaminhar o tráfego desencapsulado para o sensor de identidade autônomo do defender usando SPAN ou RSPAN.

Observação

Se o controlador de domínio que está passando por espelhamento de porta estiver conectado por um link de WAN, verifique se o link de WAN pode lidar com a carga adicional do tráfego do ERSPAN. O defender para identidade só dá suporte ao monitoramento de tráfego quando o tráfego atinge a NIC e o controlador de domínio da mesma maneira. O defender for Identity não dá suporte ao monitoramento de tráfego quando o tráfego é dividido em portas diferentes.

Opções de espelhamento de porta com suporte

Sensor autônomo do defender para identidade Controlador de Domínio Considerações
Máquina Virtual no mesmo host O comutador virtual precisa oferecer suporte ao espelhamento de porta.

Mover uma das máquinas virtuais para outro host por si só pode quebrar o espelhamento de porta.
Máquina Virtuais em hosts diferentes Verifique se o comutador virtual oferece suporte a esse cenário.
Máquina Físico Requer um adaptador de rede dedicado, caso contrário, o defender for Identity vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o serviço de nuvem do defender for Identity.
Físico Máquina Verifique se o comutador virtual oferece suporte a este cenário, e se a configuração de espelhamento de porta em seus comutadores físicos tem base no cenário:

Se o host virtual estiver no mesmo comutador físico, você precisará configurar um span no nível do comutador.

Se o host virtual estiver em um comutador diferente, você precisará configurar o RSPAN ou ERSPAN *.
Físico Físico no mesmo comutador O comutador físico deve oferecer suporte ao Espelhamento de Porta/SPAN.
Físico Físico em um comutador diferente Requer comutadores físicos para dar suporte a RSPAN ou ERSPAN *.

* Só há suporte para ERSPAN quando desencapsulamento é executado antes de o tráfego ser analisado pelo defender for Identity.

Observação

Verifique se os controladores de domínio e o sensor autônomo do defender para identidade aos quais eles se conectam têm tempo sincronizado em até cinco minutos.

Se você estiver trabalhando com clusters de virtualização:

  • Para cada controlador de domínio em execução no cluster de virtualização em uma máquina virtual com o sensor autônomo do defender para identidade, configure a afinidade entre o controlador de domínio e o sensor do defender para identidade autônoma. Dessa forma, quando o controlador de domínio é movido para outro host no cluster, o sensor autônomo do defender for Identity o segue. Isso funciona bem quando há alguns controladores de domínio.

    Observação

    Caso seu ambiente dê suporte a RSPAN (virtual para virtual em hosts diferentes), você não precisa se preocupar com afinidade.

  • Para garantir que o sensor autônomo do defender para identidade seja dimensionado corretamente para lidar com o monitoramento de todos os DCs por si só, tente esta opção: instalar uma máquina virtual em cada host de virtualização e instalar um sensor autônomo do defender para identidade em cada host. Configure cada defender para o sensor autônomo de identidade para monitorar todos os controladores de domínio que são executados no cluster. Dessa forma, qualquer host no qual os controladores de domínio são executados será monitorado.

Depois de configurar o espelhamento de porta, valide se o espelhamento de porta está funcionando antes de instalar o defender para identificar o sensor autônomo.

Consulte Também