Configurar o espelhamento de porta

Este artigo descreve as opções de espelhamento de porta para o Microsoft Defender para Identidade e é relevante apenas para sensores autônomos. O Defender para Identidade usa principalmente a inspeção profunda de pacotes no tráfego de rede que entra e sai dos controladores de domínio. Para que os sensores autônomos do Defender para Identidade vejam o tráfego de rede, você deve configurar o espelhamento de porta ou usar um TAP de rede. O espelhamento de porta copia o tráfego de uma porta (a porta de origem) para outra porta (a porta de destino).

Ao usar o espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio que você está monitorando como a origem do tráfego de rede. Recomendamos trabalhar com sua equipe de rede ou virtualização para configurar o espelhamento de porta.

Importante

Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.

Escolher um método de espelhamento de porta

Seus controladores de domínio e o sensor autônomo do Defender para Identidade podem ser físicos ou virtuais. Veja abaixo métodos comuns para o espelhamento de porta e algumas considerações. Para obter mais informações, consulte a documentação de produto do seu comutador (switch) ou servidor de virtualização. O fabricante do comutador pode usar uma terminologia diferente.

Método Descrição
Analisador de Porta Comutada (SPAN) Copia o tráfego de rede de uma ou mais portas de comutador para outra porta no mesmo comutador. O sensor autônomo do Defender para Identidade e os controladores de domínio devem estar conectados ao mesmo comutador físico.
Analisador de Porta de Comutada Remoto (RSPAN) Permite monitorar o tráfego de rede das portas de origem distribuídas em vários comutadores físicos. O RSPAN copia o tráfego de origem em uma VLAN especial configurada pelo RSPAN. Essa VLAN precisa ser colocada em tronco para os outros comutadores envolvidos. O RSPAN atua na Camada 2.
Analisador de Porta Comutada Remoto Encapsulado (ERSPAN) Uma tecnologia proprietária da Cisco que atua na Camada 3. O ERSPAN permite monitorar o tráfego entre comutadores sem a necessidade de troncos VLAN e usa o protocolo GRE para copiar o tráfego de rede monitorado.

No momento, o Defender para Identidade não pode receber tráfego ERSPAN diretamente. Em vez disso:
1. Configure o destino de ERSPAN em que o tráfego seja desencapsulado como um comutador ou roteador que pode desencapsular o tráfego.
1. Configure o comutador ou roteador para encaminhar o tráfego desencapsulado para o sensor autônomo do Defender para Identidade usando SPAN ou RSPAN.

Observação

  • Se o controlador de domínio que está sendo espelhado estiver conectado por um link WAN, verifique se o link WAN pode lidar com a carga adicional do tráfego ERSPAN.

  • O Defender para Identidade só oferece suporte ao monitoramento de tráfego quando o tráfego alcança a NIC e o controlador de domínio da mesma maneira. O Defender para Identidade não oferece suporte ao monitoramento de tráfego quando o tráfego é distribuído para portas diferentes.

Opções de espelhamento de porta compatíveis

A tabela abaixo descreve o suporte do Defender para Identidade para configurações de espelhamento de porta:

Sensor autônomo do Defender para Identidade Controlador de domínio Considerações
Virtual Virtual no mesmo host O comutador virtual precisa oferecer suporte ao espelhamento de porta.

Mover uma das máquinas virtuais para outro host por si só pode interromper o espelhamento de porta.
Virtual Virtual em diferentes hosts Certifique-se de que o comutador virtual suporta esse cenário.
Virtual Físico Requer um adaptador de rede dedicado, caso contrário, o Defender para Identidade vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o serviço de nuvem do Defender para Identidade.
Físico Máquina Certifique-se de que o comutador virtual ofereça suporte a esse cenário - e a configuração de espelhamento de porta em seus comutadores físicos com base no cenário:

Se o host virtual estiver no mesmo comutador físico, você precisará configurar uma extensão em nível de comutador.

Se o host virtual estiver em um comutador diferente, você precisará configurar o RSPAN ou o ERSPAN*.
Físico Físico no mesmo comutador O comutador físico deve oferecer suporte a SPAN/espelhamento de porta.
Físico Físico em um comutador diferente Requer comutadores físicos para dar suporte a RSPAN ou ERSPAN

O suporte para ERSPAN só está disponível quando a desencapsulação é executada antes que o tráfego seja analisado pelo Defender para Identidade.

Observação

A hora nos controladores de domínio e no sensor do Defender para Identidade conectado deve ser sincronizada com até 5 minutos de diferença entre um e outro.

Para saber mais, veja: