Planejar a capacidade para implantação do Microsoft Defender para Identidade
Este artigo descreve como usar a ferramenta de dimensionamento do Microsoft Defender para Identidade para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor do Microsoft Defender para Identidade.
Embora o desempenho do controlador de domínio talvez não seja afetado se o servidor não tiver os recursos necessários, é possível que o sensor do Defender para Identidade não funcione conforme o esperado. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender para Identidade.
A ferramenta de dimensionamento mede a capacidade necessária apenas para os controladores de domínio. Não há necessidade de executá-lo em servidores de AD FS/AD CS, pois o impacto no desempenho dos servidores de AD FS/AD CS é extremamente mínimo ou inexistente.
Dica
Por padrão, o Defender para Identidade dá suporte a até 350 sensores. Para instalar mais sensores, entre em contato com o suporte do Defender para Identidade.
Pré-requisitos
- Faça o download da Ferramenta de dimensionamento do Defender para Identidade.
- Examine o artigo Arquitetura do Defender para Identidade.
- Examine o artigo Pré-requisitos do Defender para Identidade.
Para garantir resultados precisos, execute a ferramenta de dimensionamento apenas antes de instalar um sensor do Defender para Identidade em seu ambiente.
Usar a ferramenta de dimensionamento
Execute a ferramenta de dimensionamento do Defender para Identidade, TriSizingTool.exe, no arquivo zip que você baixou.
Quando a ferramenta concluir o processo, abra os resultados do arquivo do Excel.
No arquivo do Excel, localize e selecione a planilha Azure ATP Summary e confira a coluna Sensor Supported para obter resultados que indiquem se o servidor é compatível.
Por exemplo:
Observação
A outra planilha no arquivo é usada para o planejamento da Análise Avançada de Ameaças (ATA) e não é necessária para o Defender para Identidade.
A ferramenta de dimensionamento determina se o servidor é compatível considerando o valor Busy Packets/Second, que é calculado com base nos 15 minutos mais ocupados em um período de 24 horas.
Alguns resultados comuns são:
Result | Descrição |
---|---|
Sim | O sensor é compatível com o servidor |
Sim, mas são necessários recursos adicionais | O sensor é compatível com o servidor, desde que você adicione os recursos ausentes especificados. |
Talvez | O valor atual de Busy Packets/Second pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para entender os processos em execução nesse momento e se você pode limitar a largura de banda deles em circunstâncias normais. |
Talvez, mas são necessários recursos adicionais | O sensor pode ser compatível com seu servidor, desde que você adicione os recursos ausentes especificados ou o valor de Busy Packets/Second pode estar acima de 60 mil. |
Não | O sensor não é compatível com o servidor. O valor atual de Busy Packets/Second pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para entender os processos em execução nesse momento e se você pode limitar a largura de banda deles em circunstâncias normais. |
Dados do SO ausentes | Houve um problema ao ler os dados do sistema operacional. Verifique se a conexão ao servidor pode consultar o WMI remotamente. |
Dados de tráfego ausentes | Houve um problema ao ler os dados de tráfego. Verifique se a conexão ao servidor pode consultar os contadores de desempenho remotamente. |
Dados de RAM ausentes | Houve um problema ao ler os dados de RAM. Verifique se a conexão ao servidor pode consultar o WMI remotamente. |
Dados de núcleo ausentes | Houve um problema ao ler os dados de núcleo. Verifique se a conexão ao servidor pode consultar o WMI remotamente. |
Por exemplo, a imagem a seguir mostra um conjunto de resultados em que o valor Maybe indica que o valor Busy Packets/Second é significativamente maior nesse ponto do que a média. Observe que Display DC Times as UTC/Local está definido como Local DC Time. Essa configuração ajuda a destacar o fato de que os valores foram capturados por volta das 3h30.
Dimensionamento estimado do sensor do Defender para Identidade
A tabela a seguir mostra a capacidade estimada de CPU e RAM necessária para um sensor do Defender para Identidade com base no volume típico de tráfego de rede gerado por um controlador de domínio.
Esta tabela é uma estimativa. O volume final que o sensor analisa depende do volume e da distribuição do tráfego.
Pacotes ocupados/segundo | CPU (núcleos físicos) | RAM (GB) |
---|---|---|
0-1.000 | 0,25 | 2.50 |
1.000-5.000 | 0,75 | 6,00 |
5.000-10.000 | 1,00 | 6,50 |
10.000-20.000 | 2,00 | 9,00 |
20.000-50.000 | 3,50 | 9,50 |
50.000-75.000 | 5.50 | 11.50 |
75.000-100.000 | 7,50 | 13,50 |
Nesta tabela:
A capacidade de CPU e RAM refere-se ao consumo do próprio sensor, não à capacidade do controlador de domínio.
A capacidade da CPU não inclui núcleos com hyperthreading. Recomendamos que você não utilize núcleos com hyperthreading, porque isso pode resultar em problemas de integridade no sensor do Defender para Identidade.
Ao determinar o dimensionamento, tenha em mente o número total de núcleos e a quantidade total de memória que será usada pelo serviço do sensor.
Para obter mais informações, confira Limitações de recursos.
Estimativa de dimensionamento manual para controladores de domínio
Se você não conseguir usar a ferramenta de dimensionamento, poderá estimar manualmente se os servidores do controlador de domínio têm recursos suficientes para um sensor do Defender for Identity.
Reúna manualmente as informações do contador de pacotes/segundos de todos os controladores de domínio, ao longo de 24 horas com um intervalo de coleta baixo, como 5 segundos. Para cada controlador de domínio, calcule a média diária e a média do período mais movimentado (15 minutos).
Várias ferramentas podem ajudá-lo a descobrir o contador de pacote/segundo médio para o controlador de domínio. Este procedimento descreve um exemplo de como usar o Monitor de Desempenho para reunir as informações relevantes.
Abra o Monitor de Desempenho e expanda Conjuntos de Coletores de Dados.
Clique com o botão direito do mouse em Definido pelo Usuário e selecione Novo > Conjunto de Coletores de Dados.
Insira um nome significativo para o conjunto de coletores e selecione Criar manualmente (Avançado).
Em Que tipo de dados você deseja incluir?, selecione Criar logs de dados e Contador de desempenho.
Expanda Adaptador de Rede e selecione Pacotes/s e o espaço de trabalho relevante. Se você não tiver certeza de qual espaço de trabalho selecionar, selecione <Todos os espaços de trabalho.> Selecione Adicionar>OK para concluir a etapa.
Como alternativa, se você estiver executando essa etapa a partir da linha de comando, execute
ipconfig /all
para ver o nome e a configuração do adaptador.Altere o intervalo de amostra para cinco segundos e defina onde você deseja que os dados sejam salvos.
Em Criar o conjunto de coletores de dados, selecione Iniciar este conjunto de coletores de dados agora>Concluir.
Agora você deve ver o conjunto de coletores de dados criado com um triângulo verde indicando que ele está funcionando.
Após 24 horas, pare o conjunto de coletores de dados. Clique com o botão direito do mouse no conjunto de coletores de dados e selecione Parar.
No Explorador de Arquivos, navegue até a pasta onde o arquivo .blg foi salvo. Clique duas vezes nele para abri-lo no Monitor de Desempenho.
Selecione o contador Pacotes/s e registre os valores médio e máximo.
Observação
Por padrão, o Defender para Identidade dá suporte a até 350 sensores. Se você quiser instalar mais sensores, entre em contato com o suporte do Defender para Identidade.