Configurer la mise en miroir des ports

cet article s’applique uniquement si vous déployez Microsoft Defender pour Identity des capteurs autonomes au lieu de defender pour les capteurs d’identité.

Notes

Les capteurs autonomes Defender pour Identity ne prennent pas en charge la collecte d’entrées de journal du Suivi d’événements pour Windows (ETW) qui fournissent les données pour plusieurs détections. Pour une couverture complète de votre environnement, nous vous recommandons de déployer le capteur Defender pour Identity.

La source de données principale utilisée par Defender pour l’identité est l’inspection Poussée des paquets du trafic réseau vers et à partir de vos contrôleurs de domaine. Pour Defender pour l’identité afin de voir le trafic réseau, vous devez configurer la mise en miroir des ports ou utiliser un TAP réseau.

Pour la mise en miroir des ports, configurez-la pour chaque contrôleur de domaine à surveiller en tant que source du trafic réseau. En règle générale, vous devez collaborer avec l’équipe de virtualisation ou de mise en réseau pour configurer la mise en miroir des ports. Pour plus d’informations, reportez-vous à la documentation de votre fournisseur.

Vos contrôleurs de domaine et Defender pour le capteur autonome d’identité peuvent être physiques ou virtuels. Voici les méthodes couramment employées dans le cadre de la mise en miroir des ports et quelques considérations à prendre en compte. Pour plus d’informations, reportez-vous à la documentation produit de votre commutateur ou de votre serveur de virtualisation. Le fabricant de votre commutateur peut utiliser une terminologie différente.

SPAN (Switched Port Analyzer) : copie le trafic réseau à partir d’un ou plusieurs ports de commutateur vers un autre port du même commutateur. L’Defender pour les contrôleurs de domaine et les contrôleurs de domaine autonomes de l’identité doit être connecté au même commutateur physique.

RSPAN (Remote Switch Port Analyzer) : vous permet de surveiller le trafic réseau à partir des ports source distribués sur plusieurs commutateurs physiques. RSPAN copie le trafic source dans un VLAN spécial configuré pour RSPAN. Ce VLAN doit être relié en mode trunk aux autres commutateurs impliqués. RSPAN fonctionne sur la couche 2.

ERSPAN (Encapsulated Remote Switch Port Analyzer) : il s’agit d’une technologie propriétaire qui fonctionne sur la couche 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans faire appel à des trunks VLAN. ERSPAN utilise le protocole GRE (Generic Routing Encapsulation) pour copier le trafic réseau surveillé. Defender pour l’identité ne peut actuellement pas recevoir directement le trafic ERSPAN. Pour que Defender pour l’identité fonctionne avec le trafic ERSPAN, un commutateur ou un routeur pouvant capable décapsuler le trafic doit être configuré en tant que destination de ERSPAN où le trafic est décapsulé. Configurez ensuite le commutateur ou le routeur pour transférer le trafic décapsulé vers l’Defender pour le capteur autonome d’identité à l’aide de SPAN ou de RSPAN.

Notes

Si le contrôleur de domaine faisant l’objet d’une mise en miroir des ports est connecté via une liaison WAN, vérifiez que celle-ci peut gérer la charge supplémentaire du trafic ERSPAN. Defender for Identity prend uniquement en charge la surveillance du trafic quand le trafic atteint la carte réseau et le contrôleur de domaine de la même manière. Defender for Identity ne prend pas en charge la surveillance du trafic lorsque le trafic est réparti sur différents ports.

Options de mise en miroir des ports prises en charge

Defender pour le capteur autonome d’identité Contrôleur de domaine Considérations
Virtuelle Virtuel sur le même hôte Le commutateur virtuel doit prendre en charge la mise en miroir des ports.

Le fait de déplacer l’une des machines virtuelles vers un autre hôte où elle sera toute seule risque de briser la mise en miroir des ports.
Virtuel Virtuel sur des hôtes différents Vérifiez que votre commutateur virtuel prend en charge ce scénario.
Les machines Physique Nécessite une carte réseau dédiée. dans le cas contraire, Defender pour l’identité voit tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie à l’Defender pour le service Cloud Identity.
Physique Les machines Vérifiez que votre commutateur virtuel prend en charge ce scénario et configurez la mise en miroir des ports sur vos commutateurs physiques selon le cas :

Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer SPAN au niveau du commutateur.

Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN *.
Physique Physique sur le même commutateur Le commutateur physique doit prendre en charge SPAN/la mise en miroir des ports.
Physique Physique sur un autre commutateur Requiert des commutateurs physiques pour prendre en charge RSPAN ou ERSPAN *.

* ERSPAN est uniquement pris en charge lorsque décapsulation est exécuté avant que le trafic ne soit analysé par Defender pour l’identité.

Notes

Assurez-vous que les contrôleurs de domaine et le capteur autonome d’identité auquel ils se connectent disposent d’un temps synchronisé dans un délai de cinq minutes.

Si vous travaillez avec des clusters de virtualisation :

  • Pour chaque contrôleur de domaine qui s’exécute sur le cluster de virtualisation d’un ordinateur virtuel avec le capteur de protection autonome de l’identité, configurez l’affinité entre le contrôleur de domaine et le capteur autonome d’identité du contrôleur de domaine. Ainsi, lorsque le contrôleur de domaine se déplace vers un autre hôte du cluster, le capteur de l’identité autonome de Defender le suit. Cela fonctionne bien quand il y a quelques contrôleurs de domaine.

    Notes

    Si votre environnement prend en charge la configuration « virtuel à virtuel » sur différents hôtes (RSPAN), vous n’avez pas à vous soucier de l’affinité.

  • Pour vous assurer que l’outil Defender pour le capteur autonome d’identité est correctement dimensionné pour gérer l’analyse de tous les contrôleurs de l’ordinateur, essayez cette option : installer un ordinateur virtuel sur chaque ordinateur hôte de virtualisation et installer un capteur Defender pour l’identité autonome sur chaque ordinateur hôte. Configurez chaque Defender pour le capteur autonome d’identité afin de surveiller tous les contrôleurs de domaine qui s’exécutent sur le cluster. Ainsi, n’importe quel hôte sur lequel les contrôleurs de domaine s’exécutent est surveillé.

Après la configuration de la mise en miroir des ports, vérifiez que la mise en miroir des ports fonctionne avant d’installer l’Defender pour le capteur autonome d’identité.

Voir aussi