Krav för fristående Microsoft Defender för identitetssensorer
Den här artikeln innehåller förutsättningar för att distribuera en fristående Microsoft Defender for Identity-sensor där de skiljer sig från de viktigaste distributionskraven.
Mer information finns i Planera kapacitet för Distribution av Microsoft Defender för identiteter.
Viktigt!
Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.
Extra systemkrav för fristående sensorer
Fristående sensorer skiljer sig från kraven för Defender för identitetssensorer enligt följande:
Fristående sensorer kräver minst 5 GB diskutrymme
Fristående sensorer kan också installeras på servrar som finns i en arbetsgrupp.
Fristående sensorer kan ha stöd för övervakning av flera domänkontrollanter, beroende på mängden nätverkstrafik till och från domänkontrollanterna.
Om du arbetar med flera skogar måste dina fristående sensordatorer tillåtas kommunicera med alla fjärrskogsdomänkontrollanter med hjälp av LDAP.
Information om hur du använder virtuella datorer med fristående Defender for Identity-sensor finns i Konfigurera portspegling.
Nätverkskort för fristående sensorer
Fristående sensorer kräver minst ett av följande nätverkskort:
Hanteringskort – används för kommunikation i företagets nätverk. Sensorn använder det här adaptern för att fråga den domänkontrollant som den skyddar och utför matchning mot datorkonton.
Konfigurera hanteringskort med statiska IP-adresser, inklusive en standardgateway, och önskade och alternativa DNS-servrar.
DNS-suffixet för den här anslutningen ska vara DNS-namnet på domänen för varje domän som övervakas.
Kommentar
Om den fristående Defender for Identity-sensorn är medlem i domänen kan detta konfigureras automatiskt.
Avbildningskort – används för att samla in trafik till och från domänkontrollanterna.
Viktigt!
- Konfigurera portspegling för avbildningskortet som mål för domänkontrollantens nätverkstrafik. Vanligtvis måste du arbeta med nätverks- eller virtualiseringsteamet för att konfigurera portspegling.
- Konfigurera en statisk icke-dirigerbar IP-adress (med /32 mask) för din miljö utan standardsensorgateway och inga DNS-serveradresser. Exempel: '10.10.0.10/32. Den här konfigurationen säkerställer att avbildningsnätverkskortet kan samla in den maximala mängden trafik och att hanteringsnätverkskortet används för att skicka och ta emot nödvändig nätverkstrafik.
Kommentar
Om du kör Wireshark på fristående Defender for Identity-sensor startar du om tjänsten Defender för identitetssensor när du har stoppat Wireshark-avbildningen. Om du inte startar om sensortjänsten slutar sensorn att samla in trafik.
Om du försöker installera Defender for Identity-sensorn på en dator som konfigurerats med ett nätverkskort för nätverkskort får du ett installationsfel. Om du vill installera Defender for Identity-sensorn på en dator som konfigurerats med NIC-teamindelning kan du läsa Defender för identitetssensorns NIC-teamindelningsproblem.
Portar för fristående sensorer
I följande tabell visas de extra portar som den fristående Defender for Identity-sensorn kräver konfigurerad på hanteringskortet, förutom portarna som anges för Defender for Identity-sensorn.
| Protokoll | Transport | Lastningsplats | Från | To |
|---|---|---|---|---|
| Interna portar | ||||
| LDAP | TCP och UDP | 389 | Defender för identitetssensor | Domänkontrollanter |
| Säker LDAP (LDAPS) | TCP | 636 | Defender för identitetssensor | Domänkontrollanter |
| LDAP till global katalog | TCP | 3268 | Defender för identitetssensor | Domänkontrollanter |
| LDAPS till global katalog | TCP | 3269 | Defender för identitetssensor | Domänkontrollanter |
| Kerberos | TCP och UDP | 88 | Defender för identitetssensor | Domänkontrollanter |
| Windows-tid | UDP | 123 | Defender för identitetssensor | Domänkontrollanter |
| Syslog (valfritt) | TCP/UDP | 514, beroende på konfiguration | SIEM-server | Defender för identitetssensor |
Krav för Windows-händelselogg
Defender för identitetsidentifiering förlitar sig på specifika Windows-händelseloggar som sensorn parsar från dina domänkontrollanter. För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver domänkontrollanterna korrekta inställningar för Windows Avancerade granskningsprinciper.
Mer information finns i Avancerad granskningsprincipkontroll och Avancerade säkerhetsgranskningsprinciper i Windows-dokumentationen.
Granska NTLM-granskningsinställningarna för att se till att Windows Event 8004 granskas efter behov av tjänsten.
För sensorer som körs på AD FS/AD CS-servrar konfigurerar du granskningsnivån till Utförlig. Mer information finns i Händelsegranskningsinformation för AD FS och händelsegranskningsinformation för AD CS.