Pré-requisitos do sensor autônomo do Microsoft Defender para Identidade
Este artigo lista os pré-requisitos para implantar um sensor autônomo do Microsoft Defender para Identidade, uma vez que eles diferem dos pré-requisitos da implantação principal.
Para obter mais informações, confira Planejar a capacidade para implantação do Microsoft Defender para Identidade.
Importante
Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.
Requisitos adicionais do sistema para sensores autônomos
Os sensores autônomos diferem dos pré-requisitos do sensor do Defender para Identidade da seguinte maneira:
Os sensores autônomos exigem no mínimo 5 GB de espaço em disco
Os sensores autônomos também podem ser instalados em servidores que estão em um grupo de trabalho.
Os sensores autônomos têm suporte para o monitoramento de vários controladores de domínio, dependendo do volume do tráfego de rede que entra e sai dos controladores de domínio.
Se você estiver trabalhando com várias florestas, os computadores de sensores autônomos devem ter permissão para se comunicar com todos os controladores de domínio da floresta remota usando LDAP.
Para obter informações sobre como usar máquinas virtuais com o sensor autônomo do Defender para Identidade, confira Configurar o espelhamento de porta.
Adaptadores de rede para sensores autônomos
Os sensores autônomos exigem pelo menos um de cada um dos seguintes adaptadores de rede:
Adaptadores de gerenciamento: usados para comunicações na rede corporativa. O sensor usa esse adaptador para consultar o DC que está protegendo e executando a resolução para contas de computador.
Configure os adaptadores de gerenciamento com endereços IP estáticos, incluindo um gateway padrão e servidores DNS preferenciais e alternativos.
O sufixo DNS para essa conexão deve ser o nome DNS do domínio para cada domínio que está sendo monitorado.
Observação
Se o sensor autônomo do Defender para Identidade for um membro do domínio, isso poderá ser configurado automaticamente.
Adaptador de captura: usado para capturar o tráfego que entra e sai dos controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Normalmente, você precisará trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de porta.
- Configure um endereço IP estático não roteável (com máscara /32) para seu ambiente sem gateway de sensor padrão e sem endereços de servidor DNS. Por exemplo: `10.10.0.10/32. Essa configuração garante que o adaptador de rede de captura possa capturar o volume máximo de tráfego e que o adaptador de gerenciamento de rede seja usado para enviar e receber o tráfego de rede necessário.
Observação
Se você executar o Wireshark no sensor autônomo do Defender para Identidade, reinicie o serviço de sensor do Defender para Identidade depois de parar a captura do Wireshark. Se você não reiniciar o serviço do sensor, o sensor interromperá a captura de tráfego.
Se você tentar instalar o sensor do Defender para Identidade em um computador configurado com um adaptador de Agrupamento NIC, receberá um erro de instalação. Se você quiser instalar o sensor do Defender para Identidade em um computador configurado com o agrupamento NIC, confira Problema de agrupamento NIC do sensor do Defender para Identidade.
Portas para sensores autônomos
A tabela a seguir lista as portas extras que o sensor autônomo do Defender para Identidade exige que estejam configuradas no adaptador de gerenciamento, além das portas listadas para o sensor do Defender para Identidade.
Protocolo | Transporte | Porta | De | Para |
---|---|---|---|---|
Portas internas | ||||
LDAP | TCP e UDP | 389 | Sensor do Defender para Identidade | Controladores de domínio |
LDAPS (LDAP Seguro) | TCP | 636 | Sensor do Defender para Identidade | Controladores de domínio |
LDAP para catálogo global | TCP | 3268 | Sensor do Defender para Identidade | Controladores de domínio |
LDAPS para catálogo global | TCP | 3269 | Sensor do Defender para Identidade | Controladores de domínio |
Kerberos | TCP e UDP | 88 | Sensor do Defender para Identidade | Controladores de domínio |
Horário do Windows | UDP | 123 | Sensor do Defender para Identidade | Controladores de domínio |
Syslog (opcional) | TCP/UDP | 514, dependendo da configuração | Servidor de SIEM | Sensor do Defender para Identidade |
Requisitos de log de eventos do Windows
A detecção do Defender para Identidade depende de logs de eventos específicos do Windows que o sensor analisa dos controladores de domínio. Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio exigem configurações precisas da Política de Auditoria Avançada do Windows.
Para obter mais informações, confira Verificar política de auditoria avançada e Políticas de auditoria de segurança avançada na documentação do Windows.
Para certificar-se de que o Evento 8004 do Windows seja auditado conforme necessário pelo serviço, revise as configurações de auditoria NTLM.
Para sensores sendo executados em servidores de AD FS/AD CS, configure o nível de auditoria para Detalhado. Para obter mais informações, confira Informações de auditoria de eventos para o AD FS e Informações de auditoria de eventos para o AD CS.