Microsoft Defender per identità prerequisiti del sensore autonomo
Questo articolo elenca i prerequisiti per la distribuzione di un sensore autonomo Microsoft Defender per identità in cui differiscono dai principali prerequisiti di distribuzione.
Per altre informazioni, vedere Pianificare la capacità per la distribuzione di Microsoft Defender per identità.
Importante
I sensori autonomi defender per identità non supportano la raccolta di voci di log ETW (Event Tracing for Windows) che forniscono i dati per più rilevamenti. Per una copertura completa dell'ambiente, è consigliabile distribuire il sensore Defender per identità.
Requisiti di sistema aggiuntivi per i sensori autonomi
I sensori autonomi differiscono dai prerequisiti del sensore defender per identità come indicato di seguito:
I sensori autonomi richiedono almeno 5 GB di spazio su disco
I sensori autonomi possono essere installati anche nei server che si trovano in un gruppo di lavoro.
I sensori autonomi possono supportare il monitoraggio di più controller di dominio, a seconda della quantità di traffico di rete da e verso i controller di dominio.
Se si usano più foreste, i computer del sensore autonomo devono essere autorizzati a comunicare con tutti i controller di dominio della foresta remota tramite LDAP.
Per informazioni sull'uso di macchine virtuali con il sensore autonomo Defender per identità, vedere Configurare il mirroring delle porte.
Schede di rete per sensori autonomi
I sensori autonomi richiedono almeno una delle schede di rete seguenti:
Schede di gestione: usate per le comunicazioni nella rete aziendale. Il sensore usa questa scheda per eseguire una query sul controller di dominio che protegge ed esegue la risoluzione negli account del computer.
Configurare adattatori di gestione con indirizzi IP statici, inclusi un gateway predefinito e server DNS preferiti e alternativi.
Il suffisso DNS per questa connessione deve essere il nome DNS del dominio per ogni dominio monitorato.
Nota
Se il sensore autonomo Defender per identità è un membro del dominio, è possibile che venga configurato automaticamente.
Adattatore di acquisizione : usato per acquisire il traffico da e verso i controller di dominio.
Importante
- Configurare il mirroring delle porte per la scheda di acquisizione come destinazione del traffico di rete del controller di dominio. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte.
- Configurare un indirizzo IP statico non instradabile (con /32 mask) per l'ambiente senza gateway sensore predefinito e senza indirizzi server DNS. Ad esempio: '10.10.0.10/32. Questa configurazione garantisce che la scheda di rete di acquisizione possa acquisire la quantità massima di traffico e che la scheda di rete di gestione venga usata per inviare e ricevere il traffico di rete necessario.
Nota
Se si esegue Wireshark nel sensore autonomo Defender per identità, riavviare il servizio sensore defender per identità dopo aver arrestato l'acquisizione di Wireshark. Se il servizio sensore non viene riavviato, il sensore arresta l'acquisizione del traffico.
Se si tenta di installare il sensore Defender per identità in un computer configurato con un adattatore NIC Teaming, viene visualizzato un errore di installazione. Se si vuole installare il sensore defender per identità in un computer configurato con il gruppo NIC, vedere Problema di gruppo del sensore di identità defender per identità.
Porte per sensori autonomi
Nella tabella seguente sono elencate le porte aggiuntive richieste dal sensore autonomo Defender per identità configurate nella scheda di gestione, oltre alle porte elencate per il sensore Defender per identità.
| Protocollo | Trasporto | Porto | Da | A |
|---|---|---|---|---|
| Porte interne | ||||
| LDAP | TCP e UDP | 389 | Sensore defender per identità | Controller di dominio |
| LDAP sicuro (LDAPS) | TCP | 636 | Sensore defender per identità | Controller di dominio |
| LDAP to Global Catalog | TCP | 3268 | Sensore defender per identità | Controller di dominio |
| LD piattaforma di strumenti analitici al catalogo globale | TCP | 3269 | Sensore defender per identità | Controller di dominio |
| Kerberos | TCP e UDP | 88 | Sensore defender per identità | Controller di dominio |
| Ora di Windows | UDP | 123 | Sensore defender per identità | Controller di dominio |
| Syslog (facoltativo) | TCP/UDP | 514, a seconda della configurazione | SIEM Server | Sensore defender per identità |
Requisiti del registro eventi di Windows
Il rilevamento di Defender per identità si basa su registri eventi di Windows specifici analizzati dal sensore dai controller di dominio. Affinché gli eventi corretti vengano controllati e inclusi nel registro eventi di Windows, i controller di dominio richiedono impostazioni accurate dei criteri di controllo avanzati di Windows.
Per altre informazioni, vedere Controllo dei criteri di controllo avanzati e Criteri di controllo di sicurezza avanzati nella documentazione di Windows.
Per assicurarsi che l'evento di Windows 8004 sia controllato in base alle esigenze del servizio, esaminare le impostazioni di controllo NTLM.
Per i sensori in esecuzione su server AD FS/Servizi certificati Active Directory, configurare il livello di controllo su Dettagliato. Per altre informazioni, vedere Informazioni sul controllo degli eventi per AD FS e Informazioni sul controllo degli eventi per Servizi certificati Active Directory.