Configurar o espelhamento de porta
Este artigo descreve as opções de espelhamento de porta para o Microsoft Defender para Identidade e é relevante apenas para sensores autônomos. O Defender para Identidade usa principalmente a inspeção profunda de pacotes no tráfego de rede que entra e sai dos controladores de domínio. Para que os sensores autônomos do Defender para Identidade vejam o tráfego de rede, você deve configurar o espelhamento de porta ou usar um TAP de rede. O espelhamento de porta copia o tráfego de uma porta (a porta de origem) para outra porta (a porta de destino).
Ao usar o espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio que você está monitorando como a origem do tráfego de rede. Recomendamos trabalhar com sua equipe de rede ou virtualização para configurar o espelhamento de porta.
Importante
Os sensores autônomos do Defender para Identidade não dão suporte à coleção de entradas de log do ETW (Rastreamento de Eventos para Windows) que fornecem os dados para várias detecções. Para cobertura completa do seu ambiente, recomendamos implantar o sensor do Defender para Identidade.
Escolher um método de espelhamento de porta
Seus controladores de domínio e o sensor autônomo do Defender para Identidade podem ser físicos ou virtuais. Veja abaixo métodos comuns para o espelhamento de porta e algumas considerações. Para obter mais informações, consulte a documentação de produto do seu comutador (switch) ou servidor de virtualização. O fabricante do comutador pode usar uma terminologia diferente.
Método | Descrição |
---|---|
Analisador de Porta Comutada (SPAN) | Copia o tráfego de rede de uma ou mais portas de comutador para outra porta no mesmo comutador. O sensor autônomo do Defender para Identidade e os controladores de domínio devem estar conectados ao mesmo comutador físico. |
Analisador de Porta de Comutada Remoto (RSPAN) | Permite monitorar o tráfego de rede das portas de origem distribuídas em vários comutadores físicos. O RSPAN copia o tráfego de origem em uma VLAN especial configurada pelo RSPAN. Essa VLAN precisa ser colocada em tronco para os outros comutadores envolvidos. O RSPAN atua na Camada 2. |
Analisador de Porta Comutada Remoto Encapsulado (ERSPAN) | Uma tecnologia proprietária da Cisco que atua na Camada 3. O ERSPAN permite monitorar o tráfego entre comutadores sem a necessidade de troncos VLAN e usa o protocolo GRE para copiar o tráfego de rede monitorado. No momento, o Defender para Identidade não pode receber tráfego ERSPAN diretamente. Em vez disso: 1. Configure o destino de ERSPAN em que o tráfego seja desencapsulado como um comutador ou roteador que pode desencapsular o tráfego. 1. Configure o comutador ou roteador para encaminhar o tráfego desencapsulado para o sensor autônomo do Defender para Identidade usando SPAN ou RSPAN. |
Observação
Se o controlador de domínio que está sendo espelhado estiver conectado por um link WAN, verifique se o link WAN pode lidar com a carga adicional do tráfego ERSPAN.
O Defender para Identidade só oferece suporte ao monitoramento de tráfego quando o tráfego alcança a NIC e o controlador de domínio da mesma maneira. O Defender para Identidade não oferece suporte ao monitoramento de tráfego quando o tráfego é distribuído para portas diferentes.
Opções de espelhamento de porta compatíveis
A tabela abaixo descreve o suporte do Defender para Identidade para configurações de espelhamento de porta:
Sensor autônomo do Defender para Identidade | Controlador de domínio | Considerações |
---|---|---|
Virtual | Virtual no mesmo host | O comutador virtual precisa oferecer suporte ao espelhamento de porta. Mover uma das máquinas virtuais para outro host por si só pode interromper o espelhamento de porta. |
Virtual | Virtual em diferentes hosts | Certifique-se de que o comutador virtual suporta esse cenário. |
Virtual | Físico | Requer um adaptador de rede dedicado, caso contrário, o Defender para Identidade vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o serviço de nuvem do Defender para Identidade. |
Físico | Máquina | Certifique-se de que o comutador virtual ofereça suporte a esse cenário - e a configuração de espelhamento de porta em seus comutadores físicos com base no cenário: Se o host virtual estiver no mesmo comutador físico, você precisará configurar uma extensão em nível de comutador. Se o host virtual estiver em um comutador diferente, você precisará configurar o RSPAN ou o ERSPAN*. |
Físico | Físico no mesmo comutador | O comutador físico deve oferecer suporte a SPAN/espelhamento de porta. |
Físico | Físico em um comutador diferente | Requer comutadores físicos para dar suporte a RSPAN ou ERSPAN O suporte para ERSPAN só está disponível quando a desencapsulação é executada antes que o tráfego seja analisado pelo Defender para Identidade. |
Observação
A hora nos controladores de domínio e no sensor do Defender para Identidade conectado deve ser sincronizada com até 5 minutos de diferença entre um e outro.
Conteúdo relacionado
Para saber mais, veja: