Plánování kapacity pro nasazení Microsoft Defenderu for Identity
Tento článek popisuje, jak pomocí nástroje Microsoft Defender for Identity určit, jestli servery řadiče domény mají dostatek prostředků pro senzor Microsoft Defenderu pro identitu.
I když výkon řadiče domény nemusí být ovlivněný, pokud server nemá požadované prostředky, senzor defenderu pro identitu nemusí fungovat podle očekávání. Další informace najdete v tématu Požadavky microsoft Defenderu pro identitu.
Nástroj pro změnu velikosti měří kapacitu potřebnou jenom pro řadiče domény. Není nutné ho spouštět na serverech AD FS nebo AD CS, protože dopad na výkon serverů SLUŽBY AD FS nebo AD CS je extrémně minimální, aby neexistoval.
Tip
Defender for Identity ve výchozím nastavení podporuje až 350 senzorů. Pokud chcete nainstalovat další senzory, obraťte se na podporu Defenderu for Identity.
Požadavky
- Stáhněte si nástroj Pro změnu velikosti v programu Defender for Identity.
- Projděte si článek o architektuře Defenderu for Identity.
- Projděte si článek předpokladů pro Defender for Identity.
Abyste zajistili přesné výsledky, spusťte nástroj pro změnu velikosti jenom před instalací senzorů Defenderu for Identity ve vašem prostředí.
Použití nástroje pro změnu velikosti
Spusťte nástroj Pro změnu velikosti v programu Defender for Identity TriSizingTool.exe ze staženého souboru ZIP.
Po dokončení spuštění nástroje otevřete výsledky excelového souboru.
V excelovém souboru vyhledejte a vyberte list Souhrn služby Azure ATP a potom ve sloupci Podporované senzory vyhledejte výsledky, které označují, jestli je váš server podporovaný.
Příklad:
Poznámka:
Druhý list v souboru se používá pro plánování Advanced Threat Analytics (ATA) a není potřeba pro Defender for Identity.
Nástroj pro změnu velikosti určuje, jestli je váš server podporovaný na základě hodnoty Zaneprázdněné pakety za sekundu , která se počítá na základě 15 nejsměrnějších minut za 24 hodin.
Mezi běžné výsledky patří:
Výsledek | Popis |
---|---|
Ano | Senzor je podporovaný na vašem serveru. |
Ano, ale vyžadují se další prostředky. | Senzor se podporuje na vašem serveru, pokud přidáte všechny zadané chybějící prostředky. |
Možná | Aktuální hodnota zaneprázdněných paketů za sekundu může být v daném bodě výrazně vyšší než průměr. Zkontrolujte časová razítka, abyste porozuměli procesům spuštěným v té době a jestli můžete omezit šířku pásma těchto procesů za normálních okolností. |
Možná, ale vyžadují se další prostředky. | Senzor může být na vašem serveru podporován, pokud přidáte všechny zadané chybějící prostředky, nebo pakety Zaneprázdněn / Sekunda můžou být vyšší než 60 tisíc. |
Ne | Senzor není na vašem serveru podporovaný. Aktuální hodnota zaneprázdněných paketů za sekundu může být v daném bodě výrazně vyšší než průměr. Zkontrolujte časová razítka, abyste porozuměli procesům spuštěným v té době a jestli můžete omezit šířku pásma těchto procesů za normálních okolností. |
Chybějící data operačního systému | Při čtení dat operačního systému došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI. |
Chybějící data o provozu | Při čtení dat o provozu došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat čítače výkonu. |
Chybějící data paměti RAM | Při čtení dat paměti RAM došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI. |
Chybějící základní data | Při čtení základních dat došlo k problému. Ujistěte se, že připojení k vašemu serveru dokáže vzdáleně dotazovat rozhraní WMI. |
Například následující obrázek ukazuje sadu výsledků, kde možná značí, že hodnota Zaneprázdněné pakety/sekunda je v daném bodě výrazně vyšší než průměr. Všimněte si, že zobrazení časů řadiče domény jako UTC/Local je nastaveno na místní čas řadiče domény. Toto nastavení pomáhá zvýraznit skutečnost, že hodnoty byly pořízeny kolem 3:30.
Odhadovaná velikost senzoru služby Defender for Identity
Následující tabulka uvádí odhadovanou kapacitu procesoru a paměti RAM potřebnou pro senzor služby Defender for Identity na základě typického množství síťového provozu generovaného řadičem domény.
Tato tabulka představuje odhad. Konečné množství, které senzor analyzuje, závisí na množství provozu a distribuci provozu.
Zaneprázdněné pakety / sekunda | Procesor (fyzická jádra) | RAM (GB) |
---|---|---|
0–1k | 0.25 | 2,50 |
1k-5k | 0.75 | 6,00 |
5k-10k | 1.00 | 6.50 |
10k-20k | 2.00 | 9:00 |
20k-50k | 3.50 | 9.50 |
50k-75k | 5.50 | 11.50 |
75k-100k | 7.50 | 13.50 |
V této tabulce:
Kapacita procesoru a paměti RAM odkazuje na vlastní spotřebu senzoru, nikoli na kapacitu řadiče domény.
Kapacita procesoru nezahrnuje jádra hyper-threaded. Doporučujeme, abyste nepracovali s hypervláknovými jádry, což může vést k problémům se stavem senzoru služby Defender for Identity.
Při určování velikosti mějte na paměti celkový počet jader a celkové množství paměti, které bude služba senzoru používat.
Další informace najdete v tématu Omezení prostředků.
Ruční odhad velikosti pro řadiče domény
Pokud nemůžete použít nástroj pro změnu velikosti, můžete ručně odhadnout, jestli mají servery řadiče domény dostatek prostředků pro senzor defenderu pro identitu.
Ručně shromážděte informace o čítači paketů za sekundu ze všech řadičů domény, a to po dobu 24 hodin s nízkým intervalem shromažďování, jako je 5 sekund. Pro každý řadič domény vypočítejte denní průměr a nejužší období (15 minut).
Různé nástroje vám můžou pomoct zjistit průměrný čítač paketů za sekundu pro váš řadič domény. Tento postup popisuje příklad použití Sledování výkonu ke shromáždění relevantních informací.
Otevřete Sledování výkonu a rozbalte sadu kolekcí dat.
Klikněte pravým tlačítkem myši na Uživatelem definované a vyberte Možnost Nová > sada kolekcí dat.
Zadejte smysluplný název sady kolekcí a vyberte Vytvořit ručně (Upřesnit).
V části Jaký typ dat chcete zahrnout?, vyberte Vytvořit datové protokoly a čítač výkonu.
Rozbalte síťový adaptér a pak vyberte Pakety za sekundu a příslušný pracovní prostor. Pokud si nejste jistí, který pracovní prostor vybrat, vyberte <Všechny pracovní prostory>. Krok dokončete výběrem možnosti Přidat>OK.
Případně pokud provádíte tento krok z příkazového řádku, spusťte příkaz
ipconfig /all
, abyste zobrazili název a konfiguraci adaptéru.Změňte interval vzorku na pět sekund a definujte, kam chcete data uložit.
V části Vytvořit sadu kolekcí dat vyberte Spustit tuto sadu kolekcí dat nyní>Dokončit.
Teď byste měli vidět sadu kolekcí dat, kterou jste vytvořili, se zeleným trojúhelníkem, který označuje, že funguje.
Po 24 hodinách zastavte sadu kolekcí dat. Klikněte pravým tlačítkem myši na sadu kolekcí dat a vyberte Zastavit.
V Průzkumník souborů přejděte do složky, do které byl uložen soubor .blg. Poklikáním ho otevřete v Sledování výkonu.
Vyberte čítač Pakety/s a poznamenejte si průměrné a maximální hodnoty.
Poznámka:
Defender for Identity ve výchozím nastavení podporuje až 350 senzorů. Pokud chcete nainstalovat další senzory, obraťte se na podporu Defenderu for Identity.