Microsoft Defender for Identity 独立传感器先决条件

  • 项目

本文列出了部署 Microsoft Defender for Identity 独立传感器的先决条件,这些先决条件与主要部署先决条件不同。

有关详细信息,请参阅规划用于 Microsoft Defender for Identity 部署的容量

重要

Defender for Identity 独立传感器不支持收集 Windows (ETW) 日志条目的事件跟踪,这些条目为多个检测提供数据。 为了全面覆盖你的环境,建议部署 Defender for Identity 传感器。

独立传感器的额外系统要求

独立传感器先决条件不同于 Defender for Identity 传感器先决条件,如下所示:

  • 独立传感器至少需要 5 GB 的磁盘空间

  • 独立传感器还可以在工作组的服务器上进行安装。

  • 根据传入和传出域控制器的网络流量大小,独立传感器可支持监视多个域控制器。

  • 如果使用的是多个林,则必须允许独立传感器计算机使用 LDAP 与所有远程林域控制器进行通信。

若要了解如何使用带 Defender for Identity 独立传感器的虚拟机,请参阅配置端口镜像

独立传感器的网络适配器

独立传感器至少需要以下网络适配器之一:

  • 管理适配器 – 用于企业网络上的通信。 传感器使用此适配器来查询它正在保护并执行计算机帐户解析的 DC。

    使用静态 IP 地址配置管理适配器,包括默认网关以及首选和备用 DNS 服务器。

    此连接的 DNS 后缀应为每个受监视域的域 DNS 名称。

    注意

    如果 Defender for Identity 独立传感器是域的成员,可能会自动完成此配置。

  • 捕获适配器 – 用于捕获传入和传出域控制器的流量。

    重要

    • 将捕获适配器的端口镜像配置为域控制器网络流量的目标。 通常,需要与网络或虚拟化团队协作来配置端口镜像。
    • 为环境配置一个静态非路由 IP 地址(具有 /32 掩码),没有默认传感器网关也没有 DNS 服务器地址。 例如:`10.10.0.10/32。 此配置确保捕获网络适配器可以捕获最大流量,并确保管理网络适配器用于发送和接收所需的网络流量。

注意

如果在 Defender for Identity 独立传感器上运行 Wireshark,请先停止 Wireshark 捕获,再重启 Defender for Identity 传感器服务。 如果未重启传感器服务,传感器将停止捕获流量。

如果尝试在配置有 NIC 组合适配器的计算机上安装 Defender for Identity 传感器,则会收到一条安装错误。 如果想在配置有 NIC 组合的计算机上安装 Defender for Identity 传感器,请参阅 Defender for Identity 传感器 NIC 组合问题

独立传感器的端口

下表列出了在列出的 Defender for Identity 传感器端口基础上 Defender for Identity 独立传感器要求在管理适配器上配置的额外端口。

协议 运输 端口 From 功能
内部端口
LDAP TCP 和 UDP 389 Defender for Identity 传感器 域控制器
安全 LDAP (LDAPS) TCP 636 Defender for Identity 传感器 域控制器
LDAP 至全局编录 TCP 3268 Defender for Identity 传感器 域控制器
LDAPS 至全局编录 TCP 3269 Defender for Identity 传感器 域控制器
Kerberos TCP 和 UDP 88 Defender for Identity 传感器 域控制器
Windows 时间 UDP 123 Defender for Identity 传感器 域控制器
Syslog(可选) TCP/UDP 514,具体取决于配置 SIEM 服务器 Defender for Identity 传感器

Windows 事件日志要求

Defender for Identity 检测依赖于特定的 Windows 事件日志,传感器从域控制器解析这些日志。 为了审核正确的事件并将其包含在 Windows 事件日志中,域控制器需要准确的 Windows 高级审核策略设置。

有关详细信息,请参阅 Windows 文档中的高级审核策略检查高级安全审核策略

后续步骤

配置端口镜像