Planifier la capacité de Microsoft Defender pour Identity

Dans ce guide, vous déterminez les ressources dont vous avez besoin pour vos capteurs Microsoft Defender pour Identity.

Prérequis

Utiliser l’outil de dimensionnement

La méthode recommandée et la plus simple pour déterminer la capacité de votre déploiement Defender pour Identity consiste à utiliser l’outil de dimensionnement Defender pour Identity. Si vous ne parvenez pas à utiliser l’outil, vous pouvez collecter manuellement les informations sur le trafic. Pour plus d’informations la méthode manuelle, consultez la section Estimateur de trafic du contrôleur de domaine au bas de cet article.

  1. Exécutez l’outil de dimensionnement Defender pour Identity, TriSizingTool.exe, à partir du fichier zip que vous avez téléchargé.

  2. Lorsque l’exécution de l’outil est terminée, ouvrez le fichier Excel des résultats.

  3. Dans le fichier Excel, recherchez et sélectionnez la feuille Résumé Azure ATP. L’autre feuille n’est pas nécessaire, car elle concerne la planification d’ATA. Sample capacity planning tool.

  4. Recherchez le champ Paquets occupés/s dans le tableau du capteur Azure ATP du fichier Excel des résultats et prenez note de celui-ci.

  5. Correspondez à votre champ Paquets occupés/s au champ PACKETS PER SECOND dans la section de la table du capteur Defender pour Identity de cet article. Utilisez les champs pour déterminer la mémoire et le processeur qui seront utilisés par le capteur.

Dimensionnement du capteur Defender pour Identity

Un capteur Defender pour Identity peut prendre en charge la surveillance d’un contrôleur de domaine en fonction de la quantité de trafic réseau généré par le contrôleur de domaine. Le tableau suivant est une estimation. La quantité finale analysée par le capteur étant dépendante du volume et de la distribution du trafic.

La capacité de processeur et de mémoire vive (RAM) suivante fait référence à la consommation propre du capteur, et pas à la capacité du contrôleur de domaine.

Paquets par seconde PROCESSEUR (cœurs)* Mémoire** (Go)
0 à 1 000 0,25 2,50
1 000 à 5 000 0,75 6,00
5 000 à 10 000 1,00 6,50
10 000 à 20 000 2,00 9,00
20 000 à 50 000 3,50 9,50
50 000 à 75 000 5.50 11.50
75 000 à 100 000 7.50 13.50

* Cela inclut des cœurs physiques, et non des cœurs hyper threadés.
** Mémoire d’accès aléatoire (RAM)

Lorsque vous déterminez le dimensionnement, notez les éléments suivants :

  • Nombre total de cœurs que le service de capteur va utiliser.
    Nous vous recommandons de ne pas utiliser des cœurs hyper-thread. L’utilisation de cœurs hyper-threads peut entraîner des problèmes d’intégrité du capteur Defender pour Identity.
  • Quantité totale de mémoire que le service de capteur va utiliser.
  • Si le contrôleur de domaine n’a pas les ressources requises par le capteur Defender pour Identity, les performances du contrôleur de domaine ne sont pas affectées. Toutefois, le capteur Defender pour Identity peut ne pas fonctionner comme prévu.
  • En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.
  • Pour des performances optimales, définissez l’option Power du capteur Defender pour Identity sur Hautes performances.
  • Au moins 2 cœurs sont nécessaires.
  • Un minimum de 6 Go d’espace disque est nécessaire, 10 Go sont recommandés, y compris l’espace nécessaire pour les fichiers binaires et journaux Defender pour Identity.

Mémoire dynamique

Notes

En cas d’exécution en tant que machine virtuelle, toute la mémoire doit être allouée à la machine virtuelle à tout moment.

Machine virtuelle en cours d’exécution sur Description
Hyper-V Vérifiez que l’activation de la mémoire dynamique n’est pas activée pour la machine virtuelle.
VMware Assurez-vous que la quantité de mémoire configurée et la mémoire réservée sont identiques ou sélectionnez l’option suivante dans le paramètre de la machine virtuelle – Réserver toute la mémoire invitée (tout verrouillé) .
Autre hôte de virtualisation Reportez-vous à la documentation donnée par le fournisseur pour savoir comment s’assurer que la mémoire est entièrement allouée à la machine virtuelle à tout moment.

Estimation du trafic des contrôleurs de domaine

Si, pour une raison quelconque, vous ne pouvez pas utiliser l’outil de dimensionnement Defender pour Identity, collectez manuellement les informations du compteur de paquets/s à partir de tous vos contrôleurs de domaine. Collectez les informations pendant 24 heures avec un intervalle de collecte court, environ 5 secondes. Ensuite, pour chaque contrôleur de domaine, calculez la moyenne quotidienne et la moyenne des périodes les plus actives (15 minutes). Les sections suivantes expliquent comment collecter le compteur de paquets/s dans un contrôleur de domaine.

Il existe différents outils qui permettent de détecter le nombre moyen de paquets par seconde de vos contrôleurs de domaine. Si vous n’avez pas d’outil permettant d’effectuer le suivi de ce compteur, vous pouvez utiliser l’Analyseur de performances pour collecter les informations nécessaires.

Pour déterminer le nombre de paquets par seconde, effectuez les étapes suivantes pour chaque contrôleur de domaine :

  1. Ouvrez l’Analyseur de performances.

    Performance monitor image.

  2. Développez Ensembles de collecteurs de données.

    Data collector sets image.

  3. Cliquez avec le bouton droit sur l’utilisateur défini et sélectionnez NewData>Collector Set.

    New data collector set image.

  4. Entrez un nom pour l’ensemble de collecteurs, puis sélectionnez Créer manuellement (avancé) .

  5. Sous Quel type de données voulez-vous inclure ? sélectionnez Créer des journaux de données et compteur de performances.

    Type of data for new data collector set image.

  6. Sous Quels compteurs de performances souhaitez-vous journaliser, sélectionnez Ajouter.

  7. Développez Carte réseau. Sélectionnez Paquets/s, puis l’instance appropriée. Si vous n’êtes pas sûr, vous pouvez sélectionner <Toutes les instances> et sélectionner Ajouter et OK.

    Notes

    Pour effectuer cette opération dans une ligne de commande, exécutez ipconfig /all pour afficher le nom de la carte réseau et sa configuration.

    Add performance counters image.

  8. Remplacez la valeur Intervalle d’échantillonnage par cinq secondes.

  9. Définissez l’emplacement où vous voulez enregistrer les données.

  10. Sous Créer le jeu de collecteurs de données, sélectionnez Démarrer ce jeu de collecteurs de données maintenant, puis sélectionnez Terminer.

    Vous devez maintenant voir l’ensemble de collecteurs de données que vous venez de créer avec un triangle vert indiquant qu’il est activé.

  11. Au bout de 24 heures, arrêtez l’ensemble de collecteurs de données en cliquant dessus avec le bouton droit et en sélectionnant Arrêter.

    Stop data collector set image.

  12. Dans l’Explorateur de fichiers, accédez au dossier où le fichier .blg a été enregistré, puis double-cliquez dessus pour l’ouvrir dans l’Analyseur de performances.

  13. Sélectionnez le compteur Paquets par seconde, puis enregistrez les valeurs moyenne et maximale.

    Packets per second counter image.

Étapes suivantes

Rejoindre la communauté

Vous avez d’autres questions, ou vous voulez discuter de Defender pour Identity et de la sécurité associée avec d’autres utilisateurs ? Rejoignez la communauté Defender pour Identity dès aujourd’hui.