Konfigurera portspegling

Den här artikeln beskriver portspeglingsalternativ för Microsoft Defender för identitet och är endast relevant för fristående sensorer. Defender for Identity använder främst djup paketinspektion över nätverkstrafik till och från dina domänkontrollanter. För att fristående Defender for Identity-sensorer ska kunna se nätverkstrafik måste du antingen konfigurera portspegling eller använda en nätverks-TAP. Portspegling kopierar trafiken från en port (källporten) till en annan port (målporten).

När du använder portspegling konfigurerar du portspegling för varje domänkontrollant som du övervakar som källa för nätverkstrafiken. Vi rekommenderar att du arbetar med ditt nätverks- eller virtualiseringsteam för att konfigurera portspegling.

Viktigt!

Fristående defender för identitetssensorer stöder inte insamling av loggposter för händelsespårning för Windows (ETW) som tillhandahåller data för flera identifieringar. För fullständig täckning av din miljö rekommenderar vi att du distribuerar Defender for Identity-sensorn.

Välj en portspeglingsmetod

Dina domänkontrollanter och fristående Defender for Identity-sensor kan vara fysiska eller virtuella. Följande är vanliga metoder för portspegling och vissa överväganden. Mer information finns i produktdokumentationen för växeln eller virtualiseringsservern. Växeltillverkaren kan använda annan terminologi.

Metod beskrivning
Växlad portanalys (SPAN) Kopierar nätverkstrafik från en eller flera växelportar till en annan växelport på samma växel. Både den fristående Defender for Identity-sensorn och domänkontrollanterna måste vara anslutna till samma fysiska växel.
RSPAN (Remote Switch Port Analyzer) Gör att du kan övervaka nätverkstrafik från källportar som distribueras via flera fysiska växlar. RSPAN kopierar källtrafiken till en särskild RSPAN-konfigurerad VLAN. Detta VLAN måste trunkeras till de andra växlar som är inblandade. RSPAN fungerar på Layer 2.
Inkapslad ERSPAN (Remote Switch Port Analyzer) En Cisco-patentskyddad teknik som arbetar på Layer 3. Med ERSPAN kan du övervaka trafik över växlar utan att behöva VLAN-stammar och använder allmän routningssammankapsling (GRE) för att kopiera övervakad nätverkstrafik.

Defender for Identity kan för närvarande inte ta emot ERSPAN-trafik direkt. Istället:
1. Konfigurera ERSPAN-målet där trafiken kapslas in som en växel eller router som kan kapsla av trafiken.
1. Konfigurera växeln eller routern för att vidarebefordra den kapslade trafiken till den fristående Defender for Identity-sensorn med antingen SPAN eller RSPAN.

Kommentar

  • Om domänkontrollanten som är portspegling är ansluten via en WAN-länk kontrollerar du att WAN-länken kan hantera den extra belastningen på ERSPAN-trafiken.

  • Defender for Identity stöder endast trafikövervakning när trafiken når nätverkskortet och domänkontrollanten på samma sätt. Defender for Identity stöder inte trafikövervakning när trafiken delas upp till olika portar.

Alternativ för portspegling som stöds

I följande tabell beskrivs Defender for Identitys stöd för konfigurationer för portspegling:

Fristående Defender for Identity-sensor Domänkontrollant Att tänka på
Virtuell Virtuell på samma värd Den virtuella växeln måste ha stöd för portspegling.

Om du flyttar en av de virtuella datorerna till en annan värd på egen hand kan portspeglingen brytas.
Virtuell Virtuellt på olika värdar Kontrollera att den virtuella växeln stöder det här scenariot.
Virtuell Fysisk Kräver ett dedikerat nätverkskort, annars ser Defender for Identity all trafik som kommer in och ut från värden, även den trafik som skickas till Defender for Identity-molntjänsten.
Fysisk Virtuell Kontrollera att den virtuella växeln stöder det här scenariot – och konfiguration av portspegling på dina fysiska växlar baserat på scenariot:

Om den virtuella värden är på samma fysiska växel måste du konfigurera ett intervall på växelnivå.

Om den virtuella värden är på en annan växel måste du konfigurera RSPAN eller ERSPAN*.
Fysisk Fysisk på samma växel Den fysiska växeln måste ha stöd för SPAN-/portspegling.
Fysisk Fysisk på en annan växel Kräver fysiska växlar för att stödja RSPAN eller ERSPAN

ERSPAN stöds endast när inkapsling utförs innan trafiken analyseras av Defender for Identity.

Kommentar

Tiden på dina domänkontrollanter och den anslutna Defender for Identity-sensorn måste synkroniseras till inom 5 minuter från varandra.

Mer information finns i: