Поделиться через


Настройка зеркало портов

В этой статье описаны параметры зеркало порта для Microsoft Defender для удостоверений и применимы только для автономных датчиков. Defender для удостоверений в основном использует глубокую проверку пакетов по сетевому трафику и от контроллеров домена. Чтобы автономные датчики Defender для удостоверений видели сетевой трафик, необходимо настроить зеркало портов или использовать сетевой TAP. Порт зеркало копирует трафик из одного порта (исходного порта) в другой (целевой порт).

При использовании зеркало порта настройте зеркало портов для каждого контроллера домена, который вы отслеживаете в качестве источника сетевого трафика. Для настройки зеркало портов рекомендуется работать с группой по сети или виртуализации.

Важно!

Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.

Выбор метода зеркало порта

Контроллеры домена и автономный датчик Defender для удостоверений могут быть физическими или виртуальными. Ниже приведены распространенные методы зеркало портов и некоторые рекомендации. Дополнительные сведения см. в документации по коммутатору или серверу виртуализации. Изготовитель коммутаторов может использовать другую терминологию.

Метод Description
Переключение анализатора портов (SPAN) Копирует сетевой трафик из одного или нескольких портов коммутатора в другой порт коммутатора на том же коммутаторе. Автономный датчик Defender для удостоверений и контроллеры домена должны быть подключены к одному физическому коммутатору.
Анализатор портов удаленного коммутатора (RSPAN) Позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам. RSPAN копирует исходный трафик в специальную виртуальную локальную локальную сеть RSPAN. Эта виртуальная локальная сеть должна быть магистральной к другим коммутаторам. RSPAN работает на уровне 2.
Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) Частная технология Cisco, работающая на уровне 3. ERSPAN позволяет отслеживать трафик между коммутаторами без необходимости в магистралях виртуальной локальной сети и использовать инкапсуляцию универсальной маршрутизации (GRE) для копирования отслеживаемого сетевого трафика.

Defender для удостоверений в настоящее время не может напрямую получать трафик ERSPAN. Вместо:
1. Настройте назначение ERSPAN, в котором трафик декапсулируется как коммутатор или маршрутизатор, который может обезглавить трафик.
1. Настройте коммутатор или маршрутизатор для пересылки обезглавленного трафика в автономный датчик Defender для удостоверений с помощью SPAN или RSPAN.

Примечание.

  • Если контроллер домена, зеркало подключен по каналу глобальной сети, убедитесь, что канал глобальной сети может обрабатывать дополнительную нагрузку трафика ERSPAN.

  • Defender для удостоверений поддерживает только мониторинг трафика, когда трафик достигает сетевого адаптера и контроллера домена таким же образом. Defender для удостоверений не поддерживает мониторинг трафика при разбиении трафика на разные порты.

Поддерживаемые параметры зеркало порта

В следующей таблице описана поддержка Defender для удостоверений для конфигураций портов зеркало:

Автономный датчик Defender для удостоверений Контроллер домена Рекомендации
Виртуальная Виртуальная на одном узле Виртуальный коммутатор должен поддерживать порт зеркало.

Перемещение одной из виртуальных машин на другой узел может нарушить зеркало порта.
Виртуальная Виртуальная на разных узлах Убедитесь, что виртуальный коммутатор поддерживает этот сценарий.
Виртуальная Физически Требуется выделенный сетевой адаптер, в противном случае Defender для удостоверений видит весь трафик, поступающий и исходящий из узла, даже трафик, который он отправляет в облачную службу Defender для удостоверений.
Физически Виртуальная Убедитесь, что виртуальный коммутатор поддерживает этот сценарий— и конфигурацию зеркало порта на физических коммутаторах в зависимости от сценария:

Если виртуальный узел находится на том же физическом коммутаторе, необходимо настроить диапазон уровня коммутатора.

Если виртуальный узел находится на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*.
Физически Физический на том же коммутаторе Физический коммутатор должен поддерживать зеркальное отображение ДИАПАЗОНА или порта.
Физически Физический на другом коммутаторе Требуется физические коммутаторы для поддержки RSPAN или ERSPAN

ERSPAN поддерживается только в том случае, если выполняется декапсуляция, прежде чем трафик анализируется Defender для идентификации.

Примечание.

Время на контроллерах домена и подключенном датчике Defender для удостоверений должно быть синхронизировано в течение 5 минут.

Дополнительные сведения см. в разделе: