設定埠鏡像
本文說明適用於身分識別的 Microsoft Defender的埠鏡像選項,且僅與獨立感應器相關。 適用于身分識別的 Defender 主要透過網路流量來回使用深層封包檢查,從您的網域控制站。 若要讓適用于身分識別的 Defender 獨立感應器查看網路流量,您必須設定埠鏡像或使用網路 TAP。 埠鏡像會將流量從一個埠(來源埠)複製到另一個埠(目的地埠)。
使用埠鏡像時,請針對您要監視的每個網域控制站設定埠鏡像作為網路流量的來源。 建議您與網路或虛擬化小組合作,以設定埠鏡像。
重要
適用于身分識別的 Defender 獨立感應器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的資料。 如需環境的完整涵蓋範圍,建議您部署適用于身分識別的 Defender 感應器。
選擇埠鏡像方法
您的網域控制站和適用于身分識別的 Defender 獨立感應器可以是實體或虛擬感應器。 以下是埠鏡像的常見方法,以及一些考慮。 如需詳細資訊,請參閱您的交換器或虛擬化伺服器產品檔。 您的交換器製造商可能會使用不同的術語。
| 方法 | 描述 |
|---|---|
| 交換器埠分析器 (SPAN) | 將網路流量從一或多個交換器埠複製到相同交換器上的另一個交換器埠。 適用于身分識別的 Defender 獨立感應器和網域控制站都必須連線到相同的實體交換器。 |
| 遠端交換器埠分析器 (RSPAN) | 可讓您監視透過多個實體交換器分散的來源埠的網路流量。 RSPAN 會將來源流量複製到特殊設定的 RSPAN VLAN。 此 VLAN 必須主幹至所涉及的其他交換器。 RSPAN 適用于第 2 層。 |
| 封裝的遠端交換器埠分析器 (ERSPAN) | 在第 3 層工作的 Cisco 專屬技術。 ERSPAN 可讓您監視跨交換器的流量,而不需要 VLAN 主幹,並使用一般路由封裝 (GRE) 來複製受監視的網路流量。 適用于身分識別的 Defender 目前無法直接接收 ERSPAN 流量。 相反: 1.設定 ERSPAN 目的地,其中流量會解構為交換器或路由器,以解除流量。 1.設定交換器或路由器,以使用 SPAN 或 RSPAN 將已解構的流量轉送至適用于身分識別的 Defender 獨立感應器。 |
注意
如果埠鏡像的網域控制站是透過 WAN 連結連線,請確定 WAN 連結可以處理 ERSPAN 流量的額外負載。
適用于身分識別的 Defender 只有在流量以相同方式到達 NIC 和網域控制站時,才支援流量監視。 適用于身分識別的 Defender 不支援流量監視,當流量分成不同的埠時。
支援的埠鏡像選項
下表描述適用于身分識別的 Defender 對埠鏡像設定的支援:
| 適用于身分識別的 Defender 獨立感應器 | 網域控制站 | 考量 |
|---|---|---|
| 網路 | 相同主機上的虛擬 | 虛擬交換器需要支援埠鏡像。 將其中一部虛擬機器本身移至另一部主機可能會中斷埠鏡像。 |
| 網路 | 不同主機上的虛擬 | 請確定您的虛擬交換器支援此案例。 |
| 網路 | 實體 | 需要專用網路介面卡,否則適用于身分識別的 Defender 會看到主機進出的所有流量,即使是傳送至適用于身分識別的 Defender 雲端服務的流量。 |
| 實體 | 網路 | 請確定您的虛擬交換器支援此案例 - 以及根據案例在實體交換器上的埠鏡像設定: 如果虛擬主機位於相同的實體交換器上,您必須設定交換器層級範圍。 如果虛擬主機位於不同的交換器上,您必須設定 RSPAN 或 ERSPAN*。 |
| 實體 | 相同交換器上的實體 | 實體交換器必須支援 SPAN/埠鏡像。 |
| 實體 | 不同交換器上的實體 | 需要實體切換以支援 RSPAN 或 ERSPAN 只有在分析適用于身分識別的 Defender 分析流量之前,才支援 ERSPAN。 |
注意
網域控制站和已連線的適用于身分識別的 Defender 感應器的時間必須同步處理到每部感應器的 5 分鐘內。
相關內容
如需詳細資訊,請參閱