Voraussetzungen für eigenständige Microsoft Defender for Identity-Sensoren

In diesem Artikel werden die Voraussetzungen für die Bereitstellung eines eigenständigen Microsoft Defender for Identity-Sensors aufgeführt, bei denen sie sich von den Standard Bereitstellungsvoraussetzungen unterscheiden.

Weitere Informationen finden Sie unter Planen der Kapazität für die Bereitstellung von Microsoft Defender for Identity.

Wichtig

Eigenständige Defender for Identity-Sensoren unterstützen nicht die Erstellung von Protokolleinträgen für Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Abdeckung Ihrer Umgebung empfiehlt sich die Bereitstellung des Defender for Identity-Sensors.

Zusätzliche Systemanforderungen für eigenständige Sensoren

Eigenständige Sensoren unterscheiden sich von den Voraussetzungen des Defender for Identity-Sensors wie folgt:

  • Eigenständige Sensoren erfordern mindestens 5 GB Speicherplatz

  • Eigenständige Sensoren können auch auf Servern installiert werden, die sich in einer Arbeitsgruppe befinden.

  • Ein eigenständiger Defender for Identity-Sensor kann die Überwachung von mehreren Domänencontrollern unterstützen, abhängig vom Umfang des Datenverkehrs zwischen den Domänencontrollern.

  • Wenn Sie mit mehreren Gesamtstrukturen arbeiten, müssen Ihre eigenständigen Sensorcomputer mit allen Remote-Gesamtstrukturen kommunizieren dürfen Standard Controller, die LDAP verwenden.

Informationen zur Verwendung von virtuellen Computern mit dem eigenständigen Defender for Identity-Sensor finden Sie unter Konfigurieren der Portspiegelung.

Netzwerkadapter für eigenständige Sensoren

Eigenständige Sensoren erfordern mindestens einen der folgenden Netzwerkadapter:

  • Verwaltungsadapter – für die Kommunikation in Ihrem Unternehmensnetzwerk verwendet. Der Sensor verwendet diesen Adapter, um den DC abzufragen, der schutz und die Auflösung für Computerkonten ausführt.

    Konfigurieren Sie Verwaltungsadapter mit statischen IP-Adressen, einschließlich eines Standardgateways und bevorzugter und alternativer DNS-Server.

    Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Do Standard für jede do Standard überwacht werden.

    Hinweis

    Wenn der eigenständige Defender for Identity-Sensor Mitglied der Domäne ist, erfolgt diese Konfiguration möglicherweise automatisch.

  • Aufnahmeadapter – wird verwendet, um Datenverkehr zu und von den Do Standard-Controllern zu erfassen.

    Wichtig

    • Konfigurieren Sie port Spiegel ing für den Aufnahmeadapter als Ziel des Standard Controller-Netzwerkdatenverkehrs. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um portieren Spiegel ing zu konfigurieren.
    • Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse (mit /32-Mask) für Ihre Umgebung ohne Standardsensorgateway und keine DNS-Serveradressen. Zum Beispiel: `10.10.0.10/32. Diese Konfiguration stellt sicher, dass der Aufnahmenetzwerkadapter die maximale Datenverkehrsmenge erfassen kann und dass der Verwaltungsnetzwerkadapter verwendet wird, um den erforderlichen Netzwerkdatenverkehr zu senden und zu empfangen.

Hinweis

Wenn Sie Wireshark auf dem eigenständigen Defender for Identity-Sensor ausführen, starten Sie den Defender for Identity-Sensordienst neu, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn Sie den Sensordienst nicht neu starten, stoppt der Sensor die Erfassung des Datenverkehrs.

Wenn Sie versuchen, den Defender for Identity-Sensor auf einem Computer zu installieren, der mit einem NIC-Teaming-Adapter konfiguriert ist, wird ein Installationsfehler gemeldet. Wenn Sie den Defender for Identity-Sensor auf einem Computer installieren möchten, der mit NIC-Teaming konfiguriert ist, finden Sie weitere Informationen unter Defender for Identity sensor NIC teaming issue (Problem mit NIC-Teaming von Defender for Identity-Sensoren).

Ports für eigenständige Sensoren

In der folgenden Tabelle sind die zusätzlichen Ports aufgeführt, die für den eigenständigen Defender for Identity-Sensor auf dem Verwaltungsadapter konfiguriert werden müssen, zusätzlich zu den für den Defender for Identity-Sensor aufgeführten Ports.

Protokoll Transport Port Von Beschreibung
Interner Port
LDAP TCP und UDP 389 Defender for Identity-Sensor Domänencontroller
Sicheres LDAP (LDAPS) TCP 636 Defender for Identity-Sensor Domänencontroller
LDAP zum globalen Katalog TCP 3268 Defender for Identity-Sensor Domänencontroller
LDAPS zum globalen Katalog TCP 3269 Defender for Identity-Sensor Domänencontroller
Kerberos TCP und UDP 88 Defender for Identity-Sensor Domänencontroller
Windows-Zeitdienst UDP 123 Defender for Identity-Sensor Domänencontroller
Syslog (optional) TCP/UDP 514, je nach Konfiguration SIEM Server Defender for Identity-Sensor

Windows-Ereignisprotokollanforderungen

Die Defender for Identity-Erkennung basiert auf den bestimmten Windows-Ereignisprotokollen, die der Sensor von Ihren Domänencontrollern aus analysiert. Damit die richtigen Ereignisse geprüft und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Domänencontroller genaue Einstellungen für die erweiterte Prüfungsrichtlinie.

Weitere Informationen finden Sie unter Erweiterte Überwachungsrichtlinienüberprüfung und Erweiterte Sicherheitsüberwachungsrichtlinien in der Windows-Dokumentation.

Nächste Schritte