Tek başına algılayıcı önkoşullarını Kimlik için Microsoft Defender
Bu makalede, ana dağıtım önkoşullarından farklı Kimlik için Microsoft Defender tek başına algılayıcı dağıtma önkoşulları listeleniyor.
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender dağıtımı için kapasite planlama.
Önemli
Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.
Tek başına sensörler için ek sistem gereksinimleri
Tek başına algılayıcılar, Kimlik için Defender algılayıcısı önkoşullarından aşağıdaki gibi farklıdır:
Tek başına algılayıcılar için en az 5 GB disk alanı gerekir
Tek başına algılayıcılar, bir çalışma grubundaki sunuculara da yüklenebilir.
Tek başına algılayıcılar, etki alanı denetleyicilerine gelen ve gelen ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.
Birden çok ormanla çalışıyorsanız, tek başına algılayıcı makinelerinizin LDAP kullanarak tüm uzak orman etki alanı denetleyicileriyle iletişim kurmasına izin verilmelidir.
Tek başına Kimlik için Defender algılayıcısı ile sanal makineleri kullanma hakkında bilgi için bkz . Bağlantı noktası yansıtmayı yapılandırma.
Tek başına algılayıcılar için ağ bağdaştırıcıları
Tek başına algılayıcılar, aşağıdaki ağ bağdaştırıcılarından en az birini gerektirir:
Yönetim bağdaştırıcıları - kurumsal ağınızdaki iletişimler için kullanılır. Algılayıcı, koruduğu DC'yi sorgulamak ve makine hesaplarında çözünürlük gerçekleştirmek için bu bağdaştırıcıyı kullanır.
Yönetim bağdaştırıcılarını varsayılan ağ geçidi ve tercih edilen ve alternatif DNS sunucuları da dahil olmak üzere statik IP adresleriyle yapılandırın.
Bu bağlantının DNS soneki, izlenen her etki alanının DNS adı olmalıdır.
Dekont
Tek başına Kimlik için Defender algılayıcısı etki alanının bir üyesiyse, bu otomatik olarak yapılandırılabilir.
Yakalama bağdaştırıcısı - etki alanı denetleyicilerine gelen ve bu denetleyicilerden gelen trafiği yakalamak için kullanılır.
Önemli
- Yakalama bağdaştırıcısı için bağlantı noktası yansıtmayı etki alanı denetleyicisi ağ trafiğinin hedefi olarak yapılandırın. Genellikle, bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir.
- Ortamınız için varsayılan algılayıcı ağ geçidi olmayan ve DNS sunucusu adresi olmayan statik yönlendirilebilir olmayan bir IP adresi (/32 maskesi ile) yapılandırın. Örneğin: '10.10.0.10/32. Bu yapılandırma, yakalama ağ bağdaştırıcısının maksimum trafik miktarını yakalayabilmesini ve yönetim ağ bağdaştırıcısının gerekli ağ trafiğini gönderip almak için kullanılmasını sağlar.
Dekont
Tek başına Kimlik için Defender algılayıcısı üzerinde Wireshark çalıştırırsanız, Wireshark yakalamasını durdurduktan sonra Kimlik için Defender algılayıcı hizmetini yeniden başlatın. Algılayıcı hizmetini yeniden başlatmazsanız algılayıcı trafiği yakalamayı durdurur.
Kimlik için Defender algılayıcısını NIC Ekip Oluşturma bağdaştırıcısıyla yapılandırılmış bir makineye yüklemeyi denerseniz, yükleme hatası alırsınız. Kimlik için Defender algılayıcısını NIC grubu oluşturma ile yapılandırılmış bir makineye yüklemek istiyorsanız bkz . Kimlik için Defender algılayıcısı NIC grubu oluşturma sorunu.
Tek başına algılayıcılar için bağlantı noktaları
Aşağıdaki tabloda, Kimlik için Defender algılayıcısı için listelenen bağlantı noktalarına ek olarak, tek başına Kimlik için Defender algılayıcısının yönetim bağdaştırıcısında yapılandırılması gereken ek bağlantı noktaları listelenmektedir.
| Protokol | Taşıma | Liman | İlk | Son |
|---|---|---|---|---|
| İç bağlantı noktaları | ||||
| LDAP | TCP ve UDP | 389 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| Güvenli LDAP (LDAPS) | TCP | 636 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| LDAP'nden Genel Kataloğa | TCP | 3268 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| LDAPS'nden Genel Kataloğa | TCP | 3269 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| Kerberos | TCP ve UDP | Kategori 88 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| Windows Saati | UDP | 123 | Kimlik için Defender algılayıcısı | Etki alanı denetleyicileri |
| Syslog (isteğe bağlı) | TCP/UDP | Yapılandırmaya bağlı olarak 514 | SIEM Sunucusu | Kimlik için Defender algılayıcısı |
Windows olay günlüğü gereksinimleri
Kimlik için Defender algılama, algılayıcının etki alanı denetleyicilerinizden ayrıştırması için belirli Windows Olay günlüklerine dayanır. Doğru olayların denetlenip Windows Olay günlüğüne eklenmesi için etki alanı denetleyicileriniz doğru Windows Gelişmiş Denetim İlkesi ayarları gerektirir.
Daha fazla bilgi için Windows belgelerinde Gelişmiş denetim ilkesi denetimi ve Gelişmiş güvenlik denetimi ilkeleri bölümüne bakın.
Windows Olay 8004'in hizmet tarafından gerektiği gibi denetlendiğinden emin olmak için NTLM denetim ayarlarınızı gözden geçirin.
AD FS /AD CS sunucularında çalışan algılayıcılar için denetim düzeyini Ayrıntılı olarak yapılandırın. Daha fazla bilgi için bkz . AD FS için olay denetim bilgileri ve AD CS için olay denetim bilgileri.