Microsoft Defender for Identity 先决条件

本文介绍在环境中成功部署 Microsoft Defender for Identity 所要满足的要求。

注意

若要了解如何计划资源和容量,请参阅 Defender for Identity 容量计划

Defender for Identity 由 Defender for Identity 云服务、Microsoft 365 Defende 门户和 Defender for Identity 传感器组成。 有关每个 Defender for Identity 组件的详细信息,请参阅 Defender for Identity 体系结构

Defender for Identity 可保护你的本地 Active Directory 用户和/或同步到 Azure Active Directory (Azure AD) 的用户。 若要保护仅包含 Azure AD 用户的环境,请参阅 Azure AD 标识保护

本文包括 Defender for Identity 传感器要求Defender for Identity 独立传感器要求。 Defender for Identity 独立传感器安装在专用服务器上,并且需要在域控制器上配置端口镜像以接收网络流量。

开始之前

此部分列出了在开始安装 Defender for Identity 前应收集的信息,以及要准备好的帐户和网络实体信息。

许可

  • 直接通过 Microsoft 365 门户或使用云解决方案合作伙伴 (CSP) 许可模型获取企业移动性 + 安全性 E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5) 或 Microsoft 365 E5/A5/G5 安全性产品的许可证。 还提供了 Defender for Identity 独立许可证。 有关许可证要求的详细信息,请参阅许可和隐私

帐户

  • 至少一个目录服务帐户具有对受监视域中所有对象的读取访问权限。 有关如何创建目录服务帐户的说明,请参阅目录服务帐户建议

权限

  • 要创建 Defender for Identity 实例,你需要一个 Azure AD 租户并且该租户至少具有一个全局/安全管理员。 每个 Defender for Identity 实例均支持多个 Active Directory 林边界和 Windows 2003 及更高版本的林功能级别 (FFL)。

  • 要访问 Microsoft 365 Defender 门户上的标识部分并创建工作区,你需要成为租户的全局管理员或安全管理员

Microsoft 365 Defender 门户要求

使用 Microsoft Edge、Internet Explorer 11 或任何符合 HTML 5 的 Web 浏览器在 Microsoft 365 Defender 门户中访问 Defender for Identity。

Defender for Identity 防火墙要求

注意

可以在 Microsoft Defender for Identity 美国政府版产品/服务中找到美国政府版产品/服务的网络要求。

  • 验证要安装 Defender for Identity 传感器的服务器是否能够访问 Defender for Identity Cloud Service。 他们应能够访问 https://your-instance-namesensorapi.atp.azure.com(端口 443)。 例如,https://contoso-corpsensorapi.atp.azure.com。

    若要获取实例名称,请参阅 https://security.microsoft.com/settings/identities 中的“标识设置”部分中的“关于”页。 Defender for Identity 传感器支持使用代理。 有关代理配置的详细信息,请参阅为 Defender for Identity 配置代理

    注意

    此外,你还可以使用 Azure 服务标记 (AzureAdvancedThreatProtection) 启用对 Defender for Identity 的访问。 有关服务标记的详细信息,请参阅虚拟网络服务标记下载服务标记文件。

    Defender for Identity 体系结构图

端口

下表列出了 Defender for Identity 传感器所需的最低端口数:

协议 Transport Port From 功能
Internet 端口
SSL (*.atp.azure.com) TCP 443 Defender for Identity 传感器 Defender for Identity 云服务
内部端口
DNS TCP 和 UDP 53 Defender for Identity 传感器 DNS 服务器
Netlogon(SMB、CIFS、SAM-R) TCP/UDP 445 Defender for Identity 传感器 网络上的所有设备
RADIUS UDP 1813 RADIUS Defender for Identity 传感器
Localhost 端口* 对于传感器服务更新程序是必需的
SSL (localhost) TCP 444 传感器服务 传感器更新程序服务
NNR 端口**
基于 RPC 的 NTLM TCP 端口 135 Defender for Identity 传感器 网络上的所有设备
NetBIOS UDP 137 Defender for Identity 传感器 网络上的所有设备
RDP TCP 3389,仅 Client hello 的第一个数据包 Defender for Identity 传感器 网络上的所有设备

* 默认情况下,允许 localhost 到 localhost 的流量,除非受到自定义防火墙策略阻止。
** 其中一个端口是必需的,但我们建议打开所有这些端口。

Defender for Identity 网络名称解析 (NNR) 要求

网络名称解析 (NNR) 是 Defender for Identity 功能的主要组成部分。 若要将 IP 地址解析为计算机名,Defender for Identity 传感器使用以下方法查找 IP 地址:

  • 基于 RPC 的 NTLM(TCP 端口 135)
  • NetBIOS(UDP 端口 137)
  • RDP(TCP 端口 3389),仅 Client hello 的第一个数据包
  • 使用反向 DNS 查找 IP 地址,以查询 DNS 服务器 (UDP 53)

要使前三种方法正常工作,必须从 Defender for Identity 传感器向网络上的设备打开相关端口的入站。 若要了解有关 Defender for Identity 和 NNR 的详细信息,请参阅 Defender for Identity NNR 策略

为了获得最佳效果,建议使用所有方法。 如果无法做到这一点,应使用 DNS 查找方法和至少一种其他方法。

Defender for Identity 传感器要求

本部分列出了 Defender for Identity 传感器的要求。

注意

自 2022 年 6 月 15 日起,Microsoft 不再支持运行 Windows Server 2008 R2 的设备上的 Defender for Identity 传感器。 建议你确定剩余的所有域控制器 (DC) 或 (AD FS) 服务器仍在运行 Windows Server 2008 R2 作为操作系统,并制定计划将它们更新到受支持的操作系统。

常规

Defender for Identity 传感器支持在不同的操作系统版本上安装,如下表所述。

操作系统版本 服务器(提供桌面体验) Server Core Nano Server 支持的安装
Windows Server 2012 不适用 域控制器
Windows Server 2012 R2 不适用 域控制器
Windows Server 2016 域控制器、AD FS
Windows Server 2019* 域控制器、AD FS
Windows Server 2022 域控制器、AD FS

* 需要 KB4487044 或更新的累积更新。 如果系统目录中 ntdsai.dll 文件的文件版本早于 10.0.17763.316,则没有此更新的 Server 2019 上安装的传感器将自动停止。

域控制器可以是只读域控制器 (RODC)。

如果要在 AD FS 场中安装,建议在每个 AD FS 服务器上安装传感器,或至少在主节点上安装。

安装期间,如果未安装 .NET Framework 4.7 或更高版本,将安装 .NET Framework 4.7,这可能需要重新启动服务器。 如果重启已挂起,也可能需要重启。 在安装传感器时,请考虑安排域控制器的维护时段。

服务器规格

Defender for Identity 传感器要求至少在域控制器上安装 2 个核心和 6 GB 的 RAM。

最少需要 6 GB 的磁盘空间,建议使用 10 GB。 这包括 Defender for Identity 二进制文件、Defender for Identity 日志和性能日志所需的空间。

为优化性能,请将运行 Defender for Identity 传感器的计算机的“电源选项”设置为“高性能”。

Defender for Identity 传感器可在各种负载和大小的域控制器或 AD FS 服务器上进行部署,具体取决于服务器的传入和传出网络流量大小,以及安装的资源数量。

对于 Windows Server 2012,多处理器组模式不支持 Defender for Identity 传感器。 若要详细了解多处理器组模式,请参阅疑难解答

注意

作为虚拟机运行时,始终需要将所有内存分配给虚拟机。

有关 Defender for Identity 传感器硬件要求的信息,请参阅 Defender for Identity 容量规划

时间同步

服务器和已安装传感器的域控制器必须相互同步时间,彼此间的误差不超过五分钟。

网络适配器

Defender for Identity 传感器监视所有域控制器的网络适配器上的本地流量。
部署后,可使用 Microsoft 365 Defender 门户来修改所监视的网络适配器。

在配置了 NIC 组合适配器和 Winpcap 驱动程序的计算机上安装 Defender for Identity 传感器时,将收到安装错误。 如果要在配置 NIC 组合的计算机上安装 Defender for Identity 传感器,请确保按照 此处的说明将 Winpcap 驱动程序替换为 Npcap。

Windows 事件日志

Defender for Identity 检测依赖于特定的 Windows 事件日志,传感器从域控制器解析这些日志。 要在 Windows 事件日志中审核和包括正确的事件,域控制器需要准确的高级审核策略设置。 有关设置正确策略的详细信息,请参阅高级审核策略检查。 请查看 NTLM 审核设置,以确保按照服务需求审核 Windows 事件 8004

对于在 AD FS 服务器上运行的传感器,请将审核级别配置为“详细”。 有关如何配置审核级别的信息,请参阅 AD FS 的事件审核信息

注意

传感器使用目录服务用户帐户通过 SAM-R(网络登录)为本地管理员查询组织中的终结点,以生成横向移动路径图。 有关详细信息,请参阅配置 SAM-R 所需的权限

Defender for Identity 独立传感器要求

本部分列出了 Defender for Identity 独立传感器的要求。

注意

Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议在所有域控制器上部署 Defender for Identity 传感器。

部署独立传感器时,需要将 Windows 事件转发到 Defender for Identity,以进一步增强基于 Defender for Identity 身份验证的检测、敏感组新增内容以及可疑服务创建检测。 Defender for Identity 传感器自动接收这些事件。 在 Defender for Identity 独立传感器中,可以从 SIEM 接收这些事件,或者通过从域控制器中设置 Windows 事件转发来接收这些事件。 收集的事件将为 Defender for Identity 提供更多信息,而这些信息无法通过域控制器网络流量来获得。

常规独立传感器要求

支持将 Defender for Identity 独立传感器安装在运行 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022(包括 Server Core)的服务器上。 可以在属于域或工作组的服务器上安装 Defender for Identity 独立传感器。 Defender for Identity 独立传感器可用于监视具有 Windows 2003 及更高版本的域功能级别的域控制器。

为使独立传感器与云服务进行通信,防火墙中的端口 443 和 your-instance-namesensorapi.atp.azure.com 的代理必须处理打开状态。 有关更多详细信息,请参阅 Defender for Identity 防火墙要求部分。

若要了解如何使用带 Defender for Identity 独立传感器的虚拟机,请参阅配置端口镜像

注意

最少需要 5 GB 的磁盘空间,建议使用 10 GB。 这包括 Defender for Identity 二进制文件、Defender for Identity 日志和性能日志所需的空间。

独立传感器的服务器规范

为优化性能,请将运行 Defender for Identity 独立传感器的计算机的“电源选项”设置为“高性能”。

根据传入和传出域控制器的网络流量大小,Defender for Identity 独立传感器可支持监视多个域控制器。

注意

作为虚拟机运行时,始终需要将所有内存分配给虚拟机。

有关 Defender for Identity 独立传感器硬件要求的信息,请参阅 Defender for Identity 容量规划

独立传感器的时间同步

服务器和已安装传感器的域控制器必须相互同步时间,彼此间的误差不超过五分钟。

独立传感器的网络适配器

Defender for Identity 独立传感器需要至少一个管理适配器和至少一个捕获适配器:

  • 管理适配器 - 用于企业网络通信。 传感器会使用此适配器,以查询它正在保护并执行计算机帐户解析的 DC。

    此适配器应配置有以下设置:

    • 包括默认网关的静态 IP 地址

    • 首选和备用 DNS 服务器

    • 此连接的 DNS 后缀应为每个受监视域的 DNS 域名。

      在高级 TCP/IP 设置中配置 DNS 后缀。

      注意

      如果 Defender for Identity 独立传感器是域的成员,可能会自动完成此配置。

  • 捕获适配器 - 用于捕获传入和传出域控制器的流量。

    重要

    • 将捕获适配器的端口镜像配置为域控制器网络流量的目标。 有关详细信息,请参阅配置端口镜像。 通常情况下,需要与网络或虚拟化团队合作,以配置端口镜像。
    • 为环境配置一个没有默认传感器网关、也没有 DNS 服务器地址的静态不可路由 IP 地址(带有 /32 掩码)。 例如:10.10.0.10/32。 这样可确保捕获网络适配器尽可能地捕获流量,并且管理网络适配器可用于发送和接收所需的流量。

注意

如果在 Defender for Identity 独立传感器上运行 Wireshark,请先停止 Wireshark 捕获,再重启 Defender for Identity 传感器服务。 如果不重启传感器服务,传感器便会停止捕获流量。

如果尝试在配置有 NIC 组合适配器的计算机上安装 Defender for Identity 传感器,则会收到安装错误。 如果想在配置有 NIC 组合的计算机上安装 Defender for Identity 传感器,请参阅 Defender for Identity 传感器 NIC 组合问题

独立传感器的端口

下表列出了 Defender for Identity 独立传感器要求在管理适配器上配置的最低端口数:

协议 Transport Port From 功能
Internet 端口
SSL (*.atp.azure.com) TCP 443 Defender for Identity 传感器 Defender for Identity 云服务
内部端口
LDAP TCP 和 UDP 389 Defender for Identity 传感器 域控制器
安全 LDAP (LDAPS) TCP 636 Defender for Identity 传感器 域控制器
LDAP 到全局编录 TCP 3268 Defender for Identity 传感器 域控制器
LDAPS 到全局编录 TCP 3269 Defender for Identity 传感器 域控制器
Kerberos TCP 和 UDP 88 Defender for Identity 传感器 域控制器
Netlogon(SMB、CIFS、SAM-R) TCP 和 UDP 445 Defender for Identity 传感器 网络上的所有设备
Windows 时间 UDP 123 Defender for Identity 传感器 域控制器
DNS TCP 和 UDP 53 Defender for Identity 传感器 DNS 服务器
Syslog(可选) TCP/UDP 514,具体取决于配置 SIEM 服务器 Defender for Identity 传感器
RADIUS UDP 1813 RADIUS Defender for Identity 传感器
Localhost 端口* 对于传感器服务更新程序是必需的
SSL (localhost) TCP 444 传感器服务 传感器更新程序服务
NNR 端口**
基于 RPC 的 NTLM TCP 135 Defender for Identity 传感器 网络上的所有设备
NetBIOS UDP 137 Defender for Identity 传感器 网络上的所有设备
RDP TCP 3389,仅 Client hello 的第一个数据包 Defender for Identity 传感器 网络上的所有设备

* 默认情况下,允许 localhost 到 localhost 的流量,除非受到自定义防火墙策略阻止。
** 其中一个端口是必需的,但我们建议打开所有这些端口。

注意

后续步骤