предварительные требования для автономного датчика Microsoft Defender для удостоверений
В этой статье перечислены предварительные требования для развертывания автономного датчика Microsoft Defender для удостоверений, где они отличаются от основных предварительных требований развертывания.
Дополнительные сведения см. в разделе "Планирование емкости для развертывания Microsoft Defender для удостоверений".
Важно!
Автономные датчики Defender для удостоверений не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений.
Дополнительные требования к системе для автономных датчиков
Автономные датчики отличаются от предварительных требований для датчика Defender для удостоверений следующим образом:
Автономные датчики требуют не менее 5 ГБ дискового пространства
Автономные датчики также можно установить на серверах, которые находятся в рабочей группе.
Автономные датчики могут поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика и от контроллеров домена.
Если вы работаете с несколькими лесами, автономные компьютеры датчиков должны быть разрешены для взаимодействия со всеми удаленными контроллерами домена леса с помощью LDAP.
Сведения об использовании виртуальных машин с автономным датчиком Defender для удостоверений см. в статье Настройка зеркального отображения портов.
Сетевые адаптеры для автономных датчиков
Автономные датчики требуют по крайней мере одного из следующих сетевых адаптеров:
Адаптеры управления — используемые для обмена данными в корпоративной сети. Датчик использует этот адаптер для запроса контроллера домена, который защищает и выполняет разрешение учетных записей компьютеров.
Настройте адаптеры управления со статическими IP-адресами, включая шлюз по умолчанию, а также предпочтительные и альтернативные DNS-серверы.
DNS-суффикс для этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.
Примечание.
Если автономный датчик Defender для удостоверений является членом домена, эту настройку можно выполнять автоматически.
Адаптер записи— используется для записи трафика в контроллеры домена и из нее.
Важно!
- Настройте порт зеркало для адаптера записи в качестве назначения сетевого трафика контроллера домена. Как правило, необходимо работать с группой по сети или виртуализации, чтобы настроить зеркало портов.
- Настройте статический неизменяемый IP-адрес (с маской /32) для вашей среды без шлюза датчиков по умолчанию и без адресов DNS-сервера. Например: '10.10.0.10/32. Эта конфигурация гарантирует, что сетевой адаптер записи может записывать максимальный объем трафика, а сетевой адаптер управления используется для отправки и получения требуемого сетевого трафика.
Примечание.
При выполнении Wireshark в автономном датчике Defender для удостоверений необходимо перезапустить службу датчика Defender для удостоверений после остановки записи Wireshark. Если вы не перезапустите службу датчиков, датчик перестает захватывать трафик.
Если вы пытаетесь установить датчик Defender для удостоверений на компьютере, настроенном с адаптером объединения сетевых адаптеров, вы получите ошибку установки. Чтобы установить датчик Defender для удостоверений на компьютере с функцией объединения сетевых карт, ознакомьтесь с разделом Проблема Defender для удостоверений при работе с функцией объединения сетевых карт.
Порты для автономных датчиков
В следующей таблице перечислены дополнительные порты, необходимые для автономного датчика Defender для удостоверений, настроенные на адаптере управления, а также порты, перечисленные для датчика Defender для удостоверений.
| Протокол | Транспорт | Порт | С дт. | Кому |
|---|---|---|---|---|
| Внутренние порты | ||||
| LDAP | TCP и UDP | 389 | Датчик Defender для удостоверений | Контроллеры домена |
| Защищенный протокол LDAP (LDAPS) | TCP | 636 | Датчик Defender для удостоверений | Контроллеры домена |
| ПРОТОКОЛ LDAP в глобальный каталог | TCP | 3268 | Датчик Defender для удостоверений | Контроллеры домена |
| LDAPS в глобальный каталог | TCP | 3269 | Датчик Defender для удостоверений | Контроллеры домена |
| Kerberos | TCP и UDP | 88 | Датчик Defender для удостоверений | Контроллеры домена |
| Служба времени Windows | UDP | 123 | Датчик Defender для удостоверений | Контроллеры домена |
| Системный журнал (необязательно) | TCP/UDP | 514 в зависимости от конфигурации | Сервер SIEM | Датчик Defender для удостоверений |
Требования к журналу событий Windows
Обнаружение Defender для удостоверений основано на определенных журналах событий Windows, анализируемых датчиком и получаемых с контроллеров домена. Для аудита и включения правильных событий в журнал событий Windows контроллеры домена требуют точных параметров политики расширенного аудита Windows.
Дополнительные сведения см. в статье "Расширенная политика аудита" проверка и "Расширенные политики аудита безопасности" в документации По Windows.
Чтобы убедиться, что событие Windows 8004 выполняется аудит по мере необходимости в службе, просмотрите параметры аудита NTLM.
Для датчиков, работающих на серверах AD FS или AD CS, настройте уровень аудита в подробном режиме. Дополнительные сведения см. в разделе "Аудит событий" для AD FS и сведений об аудите событий для AD CS.