Configurare il mirroring delle porte
Questo articolo descrive le opzioni di mirroring delle porte per Microsoft Defender per identità ed è rilevante solo per i sensori autonomi. Defender per identità usa principalmente l'ispezione approfondita dei pacchetti sul traffico di rete da e verso i controller di dominio. Per consentire ai sensori autonomi di Defender per identità di visualizzare il traffico di rete, è necessario configurare il mirroring delle porte o usare un tap di rete. Il mirroring delle porte copia il traffico da una porta (la porta di origine) a un'altra porta (la porta di destinazione).
Quando si usa il mirroring delle porte, configurare il mirroring delle porte per ogni controller di dominio monitorato come origine del traffico di rete. È consigliabile collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
Importante
I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Scegliere un metodo di mirroring delle porte
I controller di dominio e il sensore autonomo Defender per identità possono essere fisici o virtuali. Di seguito sono riportati i metodi comuni per il mirroring delle porte e alcune considerazioni. Per altre informazioni, vedere la documentazione del prodotto switch o virtualization server. Il produttore del commutatore potrebbe usare una terminologia diversa.
metodo | Descrizione |
---|---|
Switched Port Analyzer (SPAN) | Copia il traffico di rete da una o più porte switch a un'altra porta del commutatore sullo stesso commutatore. Sia il sensore autonomo Defender per identità che i controller di dominio devono essere connessi allo stesso commutatore fisico. |
Remote Switch Port Analyzer (RSPAN) | Consente di monitorare il traffico di rete dalle porte di origine distribuite su più commutatori fisici. RSPAN copia il traffico di origine in una speciale VLAN configurata in RSPAN. Questa VLAN deve essere inserita in trunk negli altri commutatori coinvolti. RSPAN funziona al livello 2. |
Analizzatore porta commutatore remoto incapsulato (ERSPAN) | Una tecnologia proprietaria Cisco che lavora al livello 3. ERSPAN consente di monitorare il traffico tra commutatori senza la necessità di trunk VLAN e usa l'incapsulamento generico (GRE) per copiare il traffico di rete monitorato. Defender per identità attualmente non può ricevere direttamente il traffico ERSPAN. Invece: 1. Configurare la destinazione ERSPAN in cui il traffico viene decapsulato come commutatore o router in grado di decompilare il traffico. 1. Configurare il commutatore o il router per inoltrare il traffico decapsulato al sensore autonomo defender per identità usando SPAN o RSPAN. |
Nota
Se il controller di dominio con mirroring della porta è connesso tramite un collegamento WAN, assicurarsi che il collegamento WAN possa gestire il carico aggiuntivo del traffico ERSPAN.
Defender per identità supporta il monitoraggio del traffico solo quando il traffico raggiunge la scheda di interfaccia di rete e il controller di dominio nello stesso modo. Defender per identità non supporta il monitoraggio del traffico quando il traffico viene suddiviso in porte diverse.
Opzioni di mirroring delle porte supportate
La tabella seguente descrive il supporto di Defender per identità per le configurazioni di mirroring delle porte:
Sensore autonomo defender per identità | Controller di dominio | Considerazioni |
---|---|---|
Macchine | Virtuale nello stesso host | Il commutatore virtuale deve supportare il mirroring delle porte. Lo spostamento di una delle macchine virtuali in un altro host può interrompere il mirroring delle porte. |
Macchine | Virtuale in host diversi | Assicurarsi che il commutatore virtuale supporti questo scenario. |
Macchine | Fisico | Richiede una scheda di rete dedicata altrimenti Defender per identità vede tutto il traffico in arrivo e in uscita dall'host, anche il traffico inviato al servizio cloud Defender per identità. |
Fisico | Le macchine | Assicurarsi che il commutatore virtuale supporti questo scenario e la configurazione del mirroring delle porte nei commutatori fisici in base allo scenario: Se l'host virtuale si trova nello stesso commutatore fisico, è necessario configurare un intervallo a livello di commutatore. Se l'host virtuale si trova in un commutatore diverso, è necessario configurare RSPAN o ERSPAN*. |
Fisico | Fisico sullo stesso commutatore | Il commutatore fisico deve supportare span/port mirroring. |
Fisico | Fisico su un commutatore diverso | Richiede commutatori fisici per supportare RSPAN o ERSPAN ERSPAN è supportato solo quando viene eseguita la decapsulation prima che il traffico venga analizzato da Defender per identità. |
Nota
L'ora nei controller di dominio e nel sensore di Defender per identità connesso deve essere sincronizzata entro 5 minuti da ogni altro.
Contenuto correlato
Per altre informazioni, vedi: