配置端口镜像
本文章介绍了 Microsoft Defender for Identity 的端口镜像选项,仅与独立传感器相关。 Defender for Identity 主要对传入和传出域控制器的网络流量执行的深入数据包检查。 要让 Defender for Identity 独立传感器查看网络流量,必须配置端口镜像,或使用网络 TAP。 端口镜像功能会将流量从一个端口(源端口)复制到另一个端口(目标端口)。
使用端口镜像时,请将要监视的每个域控制器的端口镜像配置为网络流量的源。 我们建议你与网络或虚拟团队合作配置端口镜像。
重要
Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。
选择端口镜像方法
你的域控制器和 Defender for Identity 独立传感器可以是物理的传感器,也可以是虚拟的传感器。 以下内容是端口镜像的常见方法以及一些注意事项。 有关详细信息,请参阅交换机或虚拟服务器产品文档。 交换机制造商可能会使用不同术语。
| 方法 | 说明 |
|---|---|
| 交换机端口分析器 (SPAN) | 将网络流量从一个或多个交换机端口复制到同一交换机上的另一个交换机端口。 Defender for Identity 独立传感器和域控制器都必须连接到同一物理交换机。 |
| 远程交换机端口分析器 (RSPAN) | 允许监视分布在多个物理交换机上的源端口的网络流量。 RSPAN 会将源流量复制到配置了特殊 RSPAN 的 VLAN 中。 此 VLAN 需要中继到所涉及的其他交换机。 RSPAN 在第 2 层工作。 |
| 封装远程交换机端口分析器 (ERSPAN) | 一种在第 3 层工作的 Cisco 专有技术。 ERSPAN 允许你在不需要 VLAN 中继的情况下监视交换机之间的流量,并使用通用路由封装 (GRE) 来拷贝受监视的网络流量。 Defender for Identity 当前无法直接接收 ERSPAN 流量。 应该: 1.将解封流量的 ERSPAN 目标配置为能够解封流量的交换机或路由器。 1.将交换机或路由器配置为使用 SPAN 或 RSPAN 将解封的流量转发到 Defender for Identity 独立传感器。 |
注意
如果端口镜像的域控制器是通过 WAN 链接连接的,请确保 WAN 链接能够处理 ERSPAN 流量的额外负载。
只有当流量以相同的方式到达 NIC 和域控制器时,Defender for Identity 才支持流量监视。 当流量分散到不同端口时,Defender for Identity 不支持流量监视。
支持的端口镜像选项
下表介绍了 Defender for Identity 对端口镜像配置的支持:
| Defender for Identity 独立传感器 | 域控制器 | 注意事项 |
|---|---|---|
| 虚拟 | 在同一主机上进行虚拟 | 虚拟交换机需要支持端口镜像。 将其中一个虚拟机移动到另一台主机可能会破坏端口镜像。 |
| 虚拟 | 在不同主机上进行虚拟 | 请确保你的虚拟交换机支持这种应用场景。 |
| 虚拟 | 物理 | 需要一个专用网络适配器,否则 Defender for Identity 将看到传入和传出主机的所有流量,即使是发送到 Defender for Identity 云服务的流量。 |
| 物理 | 虚拟 | 确保虚拟交换机支持此方案,并根据方案在物理交换机上进行端口镜像配置: 如果虚拟主机位于同一物理交换机,则需要配置交换机的级别跨度。 如果虚拟主机位于另一个交换机上,则需要配置 RSPAN 或 ERSPAN*。 |
| 物理 | 在同一交换机上进行物理 | 物理交换机必须支持 SPAN/端口镜像。 |
| 物理 | 在不同交换机上进行物理 | 需要物理交换机才能支持 RSPAN 或 ERSPAN 只有在 Defender for Identity 分析流量之前执行解封时,才支持 ERSPAN。 |
注意
域控制器和连接的 Defender for Identity 传感器上的时间必须在 5 分钟内同步一次。
相关内容
有关详细信息,请参阅: