Pré-requisitos do sensor autônomo do Microsoft Defender for Identity
Este artigo lista os pré-requisitos para implantar um sensor autônomo do Microsoft Defender for Identity onde eles diferem dos pré-requisitos de implantação principais.
Para obter mais informações, consulte Planejar a capacidade para implantação do Microsoft Defender for Identity.
Importante
Os sensores autónomos do Defender for Identity não suportam a recolha de entradas de registo ETW (Event Tracing for Windows) que fornecem os dados para várias deteções. Para obter uma cobertura completa do seu ambiente, recomendamos a implantação do sensor Defender for Identity.
Requisitos de sistema adicionais para sensores autónomos
Os sensores autônomos diferem dos pré-requisitos do sensor Defender for Identity da seguinte forma:
Os sensores autónomos requerem um mínimo de 5 GB de espaço em disco
Sensores autônomos também podem ser instalados em servidores que estão em um grupo de trabalho.
Os sensores autónomos podem suportar a monitorização de vários controladores de domínio, dependendo da quantidade de tráfego de rede de e para os controladores de domínio.
Se você estiver trabalhando com várias florestas, suas máquinas de sensor autônomas devem ter permissão para se comunicar com todos os controladores de domínio de floresta remotos usando LDAP.
Para obter informações sobre como usar máquinas virtuais com o sensor autônomo do Defender for Identity, consulte Configurar espelhamento de porta.
Adaptadores de rede para sensores autônomos
Os sensores autónomos requerem pelo menos um de cada um dos seguintes adaptadores de rede:
Adaptadores de gerenciamento - usados para comunicações em sua rede corporativa. O sensor usa esse adaptador para consultar o DC que está protegendo e executando a resolução para contas de máquina.
Configure adaptadores de gerenciamento com endereços IP estáticos, incluindo um gateway padrão, e servidores DNS preferenciais e alternativos.
O sufixo DNS para esta conexão deve ser o nome DNS do domínio para cada domínio que está sendo monitorado.
Nota
Se o sensor autônomo do Defender for Identity for um membro do domínio, isso poderá ser configurado automaticamente.
Adaptador de captura - usado para capturar o tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Normalmente, você precisa trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de portas.
- Configure um endereço IP estático não roteável (com máscara /32) para seu ambiente sem gateway de sensor padrão e sem endereços de servidor DNS. Por exemplo: '10.10.0.10/32. Essa configuração garante que o adaptador de rede de captura possa capturar a quantidade máxima de tráfego e que o adaptador de rede de gerenciamento seja usado para enviar e receber o tráfego de rede necessário.
Nota
Se você executar o Wireshark no sensor autônomo do Defender for Identity, reinicie o serviço do sensor do Defender for Identity depois de interromper a captura do Wireshark. Se você não reiniciar o serviço do sensor, o sensor para de capturar tráfego.
Se você tentar instalar o sensor Defender for Identity em uma máquina configurada com um adaptador de agrupamento NIC, receberá um erro de instalação. Se você quiser instalar o sensor Defender for Identity em uma máquina configurada com agrupamento NIC, consulte Defender for Identity sensor NIC teaming issue.
Portas para sensores autónomos
A tabela a seguir lista as portas extras que o sensor autônomo do Defender for Identity requer configuradas no adaptador de gerenciamento, além das portas listadas para o sensor do Defender for Identity.
| Protocolo | Transporte | Porta | From | To |
|---|---|---|---|---|
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Sensor Defender for Identity | Controladores de domínio |
| LDAP seguro (LDAPS) | TCP | 636 | Sensor Defender for Identity | Controladores de domínio |
| LDAP para Catálogo Global | TCP | 3268 | Sensor Defender for Identity | Controladores de domínio |
| LDAPS para Catálogo Global | TCP | 3269 | Sensor Defender for Identity | Controladores de domínio |
| Kerberos | TCP e UDP | 88 | Sensor Defender for Identity | Controladores de domínio |
| Horário do Windows | UDP | 123 | Sensor Defender for Identity | Controladores de domínio |
| Syslog (opcional) | TCP/UDP | 514, dependendo da configuração | Servidor SIEM | Sensor Defender for Identity |
Requisitos do log de eventos do Windows
A deteção do Defender for Identity depende de logs de eventos específicos do Windows que o sensor analisa dos controladores de domínio. Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, os controladores de domínio exigem configurações precisas da Diretiva de Auditoria Avançada do Windows.
Para obter mais informações, consulte Verificação de política de auditoria avançada e Políticas avançadas de auditoria de segurança na documentação do Windows.
Para se certificar de que o Evento 8004 do Windows é auditado conforme necessário pelo serviço, reveja as definições de auditoria NTLM.
Para sensores executados em servidores AD FS / AD CS, configure o nível de auditoria para Detalhado. Para obter mais informações, consulte Informações de auditoria de eventos para AD FS e Informações de auditoria de eventos para AD CS.