適用於身分識別的 Microsoft Defender獨立感應器必要條件
本文列出部署適用於身分識別的 Microsoft Defender獨立感應器的必要條件,這些感應器與 主要部署必要條件 不同。
如需詳細資訊,請參閱 規劃適用於身分識別的 Microsoft Defender部署 的容量。
重要
適用于身分識別的 Defender 獨立感應器不支援收集 Windows 事件追蹤 (ETW) 記錄專案,這些記錄專案會提供多個偵測的資料。 如需環境的完整涵蓋範圍,建議您部署適用于身分識別的 Defender 感應器。
獨立感應器的額外系統需求
獨立感應器與適用于身分識別的 Defender 感應器 必要條件 不同,如下所示:
獨立感應器至少需要 5 GB 的磁碟空間
獨立感應器也可以安裝在工作組中的伺服器上。
獨立感應器可以支援監視多個網域控制站,視來自網域控制站的網路流量量而定。
如果您使用 多個樹系 ,則必須允許獨立感應器機器使用 LDAP 與所有遠端樹系網域控制站通訊。
如需搭配適用于身分識別的 Defender 獨立感應器使用虛擬機器的詳細資訊,請參閱 設定埠鏡像 。
獨立感應器的網路介面卡
獨立感應器至少需要下列其中一張網路介面卡:
管理配接器 - 用於公司網路上的通訊。 感應器會使用此介面卡來查詢其保護的 DC,以及執行電腦帳戶的解析。
使用靜態 IP 位址設定管理配接器,包括預設閘道,以及慣用和替代 DNS 伺服器。
此連線 的 DNS 尾碼應該是受監視之每個網域的 DNS 名稱。
注意
如果適用于身分識別的 Defender 獨立感應器是網域的成員,系統可能會自動設定此情況。
擷取配接器 - 用來擷取來自網域控制站的流量。
重要
- 將擷取介面卡的埠鏡像 設定為網域控制站網路流量的目的地。 一般而言,您必須與網路或虛擬化小組合作,以設定埠鏡像。
- 為沒有預設感應器閘道且沒有 DNS 伺服器位址的環境設定靜態不可路由 IP 位址(含 /32 遮罩)。 例如:'10.10.0.10/32。 此組態可確保擷取網路介面卡可以擷取流量上限,以及管理網路介面卡用來傳送和接收所需的網路流量。
注意
如果您在適用于身分識別的 Defender 獨立感應器上執行 Wireshark,請在停止 Wireshark 擷取之後重新開機適用于身分識別的 Defender 感應器服務。 如果您未重新開機感應器服務,感應器會停止擷取流量。
如果您嘗試在使用 NIC 小組配接器設定的電腦上安裝適用于身分識別的 Defender 感應器,您會收到安裝錯誤。 如果您想要在設定 NIC 小組的電腦上安裝適用于身分識別的 Defender 感應器,請參閱 適用于身分識別的 Defender 感應器 NIC 小組問題 。
獨立感應器的埠
下表列出適用于身分識別的 Defender 獨立感應器除了針對 適用于身分識別的 Defender 感應器 列出的埠之外,還需要在管理配接器上設定的額外埠。
| 通訊協定 | 傳輸 | Port | 從 | 至 |
|---|---|---|---|---|
| 內部埠 | ||||
| Ldap | TCP 和 UDP | 389 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| 安全 LDAP (LDAPS) | TCP | 636 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| LDAP 至通用類別目錄 | TCP | 3268 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| LDAPS 至通用類別目錄 | TCP | 3269 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| Kerberos | TCP 和 UDP | 88 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| Windows Time | UDP | 123 | 適用于身分識別的 Defender 感應器 | 網域控制站 |
| Syslog (選擇性) | TCP/UDP | 514,視設定而定 | SIEM 伺服器 | 適用于身分識別的 Defender 感應器 |
Windows 事件記錄檔需求
適用于身分識別的 Defender 偵測仰賴感應器從網域控制站剖析的特定 Windows 事件記錄 檔。 若要稽核並包含在 Windows 事件記錄檔中的正確事件,您的網域控制站需要精確的 Windows 進階稽核原則設定。
如需詳細資訊,請參閱 Windows 檔中的進階稽核原則檢查 和 進階安全性稽核原則 。