Microsoft Defender for Identity デプロイの容量を計画する

[アーティクル]
01/29/2024

この記事では、Microsoft Defender for Identity サイズ設定ツールを使用して、ドメインコントローラーサーバーに、Microsoft Defender for Identity センサーに十分なリソースがあるかどうかを判断する方法について説明します。

サーバーに必要なリソースがない場合、ドメインコントローラーのパフォーマンスには影響を与えませんが、Defender for Identity センサーが想定どおりに動作しない可能性があります。詳細については、「Microsoft Defender for Identity の前提条件」を参照してください。

サイズ設定ツールは、ドメインコントローラーにのみ必要な容量を測定します。 AD FS/AD CS サーバーに対するパフォーマンスへの影響は非常に小さいか存在しないため、AD FS/AD CS サーバーに対して実行する必要はありません。

ヒント

既定では、最大 350 個のセンサーが Defender for Identity でサポートされます。さらに多くのセンサーをインストールするには、Defender for Identity のサポートにお問い合わせください。

前提条件

Defender for Identity サイズ設定ツールをダウンロードします。
Defender for Identity アーキテクチャに関する記事を確認します。
Defender for Identity の前提条件に関する記事を確認します。

正確な結果を得るには、Defender for Identity センサーを環境にインストールする前にのみ、サイズ変更ツールを実行してください。

サイズ設定ツールを使用

ダウンロードした zip ファイルの TriSizingTool.exe で Defender for Identity サイズ設定ツールを実行します。
ツールの実行が完了したら、Excel ファイルの結果を開きます。
Excel ファイルで、Azure ATP 概要シートを見つけて選択し、サーバーがサポートされているかどうかを示す結果の [Sensor Supported] (サポートされているセンサー) 列を確認します。

次に例を示します。

Note

ファイル内のもう 1 つのシートは Advanced Threat Analytics (ATA) の計画に使用され、Defender for Identity には必要ありません。

サイズ設定ツールは、24 時間にわたって最もビジーとなる 15 分間に基づいて計算される [ビジーパケット/秒] の値に基づいて、サーバーがサポートされるかどうかを判断します。

一般的な結果は次のとおりです。

結果	説明
はい	センサーはサーバーでサポートされます
はい。ただし、追加のリソースが必要です	指定された不足リソースを追加する限り、センサーはサーバーでサポートされます。
可能性あり	現在の [ビジーパケット/秒] の値は、その時点で平均よりもかなり高い可能性があります。タイムスタンプを調べて、その時点で実行されているプロセスと、通常の状況でそれらのプロセスの帯域幅を制限できるかどうかを確認してください。
おそらくサポートされますが、追加のリソースが必要です	指定された不足リソースを追加するか、または [ビジーパケット/秒] が 60K を超える限り、センサーはサーバーでサポートされる可能性があります。
いいえ	センサーはサーバーでサポートされません現在の [ビジーパケット/秒] の値は、その時点で平均よりもかなり高い可能性があります。タイムスタンプを調べて、その時点で実行されているプロセスと、通常の状況でそれらのプロセスの帯域幅を制限できるかどうかを確認してください。
OS データが見つからない	オペレーティングシステムデータの読み取りに問題が発生しました。サーバーへの接続で WMI をリモートでクエリできることを確認してください。
トラフィックデータが見つからない	トラフィックデータの読み取りに問題が発生しました。サーバーへの接続でパフォーマンスカウンターをリモートでクエリできることを確認してください。
RAM データが見つからない	RAM データの読み取りに問題が発生しました。サーバーへの接続で WMI をリモートでクエリできることを確認してください。
コアデータが見つからない	コアデータの読み取りに問題が発生しました。サーバーへの接続で WMI をリモートでクエリできることを確認してください。

たとえば、次の図は一連の結果を示しています。ここで、可能性ありは、ビジーパケット/秒の値がその時点で平均よりもかなり高いことを示しています。 [Display DC Times as UTC/Local] (DC 時間を UTC/ローカルとして表示) が [Local DC Time] (ローカル DC 時刻) に設定されていることに注意してください。この設定は、午前 3 時 30 分頃に取得された値であることを強調するのに役立ちます。

Defender for Identity センサーの推定サイズ

次の表は、ドメインコントローラーによって生成されるネットワークトラフィックの一般的な量に基づいて、Defender for Identity センサーに必要な CPU と RAM の推定容量を示しています。

この表は推定です。センサーが解析する最終的な量は、トラフィックの量とトラフィックの分布によって異なります。

ビジーパケット/秒	CPU (物理コア)	RAM (GB)
0 ~ 1k	0.25	2.50
1k ~ 5k	0.75	6.00
5k ~ 10k	1.00	6.50
10k ~ 20k	2.00	9.00
20k ~ 50k	3.50	9.50
50k ~ 75k	5.50	11.50
75k ~ 100k	7.50	13.50

この表では

CPU および RAM 容量は、ドメインコントローラーの容量ではなく、センサー自体の消費量を示します。
CPU 容量には、ハイパースレッドコアは含まれません。ハイパースレッドコアを使用しないことをお勧めします。使用すると、Defender for Identity センサーの正常性の問題が発生する可能性があります。

サイズを決定するときは、センサーサービスが使用するコアの総数とメモリの総量に留意してください。

詳しくは、「リソースの制限」をご覧ください。

ドメインコントローラーの手動サイズ見積り

サイズ設定ツールを使用できない場合は、手動でも、ドメインコントローラーサーバーに Defender for Identity センサー用の十分なリソースがあるかどうかを見積もることができます。

すべてのドメインコントローラーから、24 時間にわたり 5 秒などの短い収集間隔で、"1 秒あたりのパケット数" カウンターの情報を手動で収集します。メインコントローラーごとに、1 日の平均と最もビジーとなる期間 (15 分) の平均を計算します。

ドメインコントローラーの 1 秒あたりの平均パケット数を検出するには、さまざまなツールを使用できます。この手順では、パフォーマンスモニターを使用して関連情報を収集する方法の例について説明します。

パフォーマンスモニターを開き、[データコレクターセット] を展開します。
[ユーザー定義] を右クリックし、[新規作成] > [データコレクターセット] を選択します。
コレクターセット用にわかりやすい名前を入力し、[手動で作成する (詳細)] を選択します。
[含めるデータの種類を選択してください] で、[データログを作成する]、[パフォーマンスカウンター] の順に選択します。
ネットワークアダプターを展開して [Packets/sec] を選択し、適切なワークスペースを選びます。選択するワークスペースがわからない場合は、<[すべてのワークスペース]> を選択します。 [追加]>[OK] を選択してこの手順を完了します。

または、コマンドラインからこの手順を実行する場合は、ipconfig /all を実行してアダプターの名前と構成を確認します。
[サンプルの間隔] を 5 秒に変更し、データの保存先を定義します。
[データコレクターセットの作成] で、[このデータコレクターセットを今すぐ開始]> を選択し、[完了] を選択します。

これで、作成したデータコレクターセットが動作していることを示す緑色の三角形が表示されます。
24 時間後に、データコレクターセットを停止します。データコレクターセットを右クリックし、[停止] を選択します。
エクスプローラーで、.blg ファイルが保存されたフォルダーを参照します。ダブルクリックして、パフォーマンスモニターで開きます。
[Packets/sec] カウンターを選択し、平均値と最大値を記録します。

Note

既定では、最大 350 個のセンサーが Defender for Identity でサポートされます。さらに多くのセンサーをインストールしたい場合は、Defender for Identity のサポートにお問い合わせください。

次のステップ

エンドポイントプロキシとインターネット接続の設定を構成する »