Id に対して Microsoft Defender の容量を計画する

このガイドでは、必要なセンサーの数を決定し Microsoft Defender for Identity ます。

前提条件

サイジング ツールを使う

配置の容量を決定するために推奨される最も簡単 Defender for Identity な方法は、サイジングツールを使用することです Defender for Identity 。 このツールを使用できない場合は、手動でトラフィック情報を収集できます。 手動の方法について詳しくは、この記事の下部にある、ドメイン コントローラーのトラフィック推定機能に関するセクションをご覧ください。

  1. Defender for Identityダウンロードした zip ファイルからサイジングツールを実行し、 TriSizingTool.exe します。

  2. ツールの実行が完了したら、結果の Excel ファイルを開きます。

  3. Excel ファイルで、 Azure ATP 概要 シートを探して選択します。 他のシートは ATA の計画用のものなので、必要ありません。 サンプル容量計画ツール。

  4. 結果の Excel ファイルにある Azure ATP センサーのテーブルから [Busy Packets/sec](ビジー パケット数/秒) フィールドを見つけて、それをメモしておきます。

  5. [ Busy packets/sec ] フィールドを、この記事の「 Defender for Identity センサーテーブル」セクションの 1 秒あたりのパケット数 フィールドに一致させます。 フィールドを使って、センサーによって使われるメモリと CPU を確認します。

Id センサーのサイズ調整のための Defender

センサーは、 Defender for Identity ドメインコントローラーが生成するネットワークトラフィックの量に基づいて、ドメインコントローラーの監視をサポートできます。 推定値を次の表に示します。 センサーが解析する最終的な量は、トラフィックの量とトラフィックの分散によって異なります。

次の CPU およびランダム アクセス メモリ (RAM) の容量は、ドメイン コントローラーの容量ではなく、センサー自体の消費量 を指しています。

パケット数/秒 CPU (コア)* メモリ** (GB)
0-1k 0.25 2.50
1k-5k 0.75 6.00
5k-10k 1.00 6.50
10k-20k 2.00 9.00
20k-50k 3.50 9.50
50k-75k 3.50 9.50
75k-100k 3.50 9.50

* 物理コアを含み、ハイパースレッド コアは含まれません。
** ランダム アクセス メモリ (RAM)

サイズ設定を決めるときは、次の項目に注意してください。

  • センサー サービスで使用できるコアの合計数。
    ハイパースレッド コアの使用はお勧めしません。 ハイパースレッドコアを使用すると、センサーの正常性の問題が発生する可能性が Defender for Identity あります。
  • センサー サービスで使用できるメモリの合計容量。
  • センサーが必要とするリソースがドメインコントローラーにない場合 Defender for Identity 、ドメインコントローラーのパフォーマンスは影響を受けません。 ただし、 Defender for Identity センサーが想定どおりに動作しない可能性があります。
  • 仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。
  • 最適なパフォーマンスを得るには、センサーの 電源オプション を Defender for Identity 高パフォーマンス に設定します。
  • 最低でも 2 コアが必要です。
  • 少なくとも 6 GB のハードドライブ領域が必要です。バイナリとログに必要な領域を含め、10 GB をお勧めし Defender for Identity ます。

動的メモリ

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。

VM の実行環境 [説明]
Hyper-V VM の [ 動的メモリを有効 にする] が有効になっていないことを確認します。
VMware 構成されたメモリと予約済みのメモリの量が同じであることを確認するか、VM の設定で次のオプションを選択します – [すべてのゲスト メモリを予約 (すべてロック)]
その他の仮想化ホスト 常にメモリ全体が VM に割り当てられているようにするための方法については、ベンダー提供のドキュメントを参照してください。

ドメイン コントローラーのトラフィックの推定

何らかの理由でサイズ設定ツールを使用できない場合は、 Defender for Identity すべてのドメインコントローラーからパケット/秒カウンターの情報を手動で収集します。 収集の期間は 24 時間とし、収集間隔は小さくしてください (約 5 秒)。 次に、ドメイン コントローラーごとに、1 日の平均と最も混雑している期間 (15 分間) の平均を計算します。 以降の各セクションで、パケット/秒カウンターを 1 つのドメイン コントローラーから収集する方法を説明します。

ドメイン コントローラーの 1 秒あたりの平均パケット数を検出するために使用できるさまざまなツールがあります。 このカウンターを追跡するツールがない場合は、パフォーマンス モニターを使用して必要な情報を収集できます。

1 秒あたりのパケットを確認するには、ドメイン コントローラーごとに以下の手順を実行します。

  1. パフォーマンス モニターを開きます。

    パフォーマンスモニターの画像。

  2. [データ コレクター セット] を展開します。

    データコレクターセットの画像。

  3. [ ユーザー定義 ] を右クリックし、[ 新しい > データコレクターセット] をクリックします。

    新しいデータコレクターセットの画像。

  4. コレクター セットの名前を入力し、 [手動で作成する (詳細)] を選択します。

  5. [含めるデータの種類を選択してください。] で、 [データ ログを作成する] と [パフォーマンス カウンター] を選択します。

    新しいデータコレクターセットのイメージのデータの種類。

  6. [ ログに記録するパフォーマンスカウンターを指定 してください] で、[ 追加] を選択します。

  7. [ネットワーク アダプター] を展開し、 [パケット/秒] を選択し、適切なインスタンスを選択します。 わからない場合は、[すべての < > インスタンス] を選択し、[追加 ] と [OK] を選択します。

    注意

    コマンドラインでこの操作を実行するには、ipconfig /all を実行して、アダプターと構成の名前を表示します。

    パフォーマンスカウンターイメージを追加します。

  8. [サンプリング間隔][5 秒] に変更します。

  9. データを保存する場所を設定します。

  10. [ データコレクターセットの作成] で、[ このデータコレクターセットを今すぐ開始 する] を選択し、[ 完了] を選択します。

    作成したデータ コレクターが表示され、動作中であることが緑の三角形で示されます。

  11. 24 時間後に、このデータ コレクター セットを停止します。データ コレクター セットを右クリックし、 [停止] を選択します。

    データコレクターセットのイメージを停止します。

  12. ファイル エクスプローラーで、.blg ファイルが保存されているフォルダーを参照し、そのファイルをダブルクリックしてパフォーマンス モニターで開きます。

  13. [パケット/秒] カウンターを選択し、平均値と最大値を記録します。

    1秒あたりのパケット数カウンターの画像。

次のステップ

このガイドでは、必要なセンサーの数を決定しました Defender for Identity 。 また、センサー用のサイズ設定も確認しました。 インスタンスの作成の Defender for Identity クイックスタートガイドに進みます。

コミュニティに参加する

さらに疑問がありますか、または Defender for Identity と関連するセキュリティについて他のユーザーと議論したいですか。 今すぐ Defender for Identity コミュニティにご参加ください。