Poortspiegeling configureren
In dit artikel worden opties voor poortspiegeling voor Microsoft Defender for Identity beschreven en is alleen relevant voor zelfstandige sensoren. Defender for Identity maakt voornamelijk gebruik van grondige pakketinspectie via netwerkverkeer van en naar uw domeincontrollers. Voor zelfstandige sensoren van Defender for Identity om netwerkverkeer te kunnen zien, moet u poortspiegeling configureren of een netwerkTIK gebruiken. Poortspiegeling kopieert het verkeer van de ene poort (de bronpoort) naar een andere poort (de doelpoort).
Wanneer u poortspiegeling gebruikt, configureert u poortspiegeling voor elke domeincontroller die u bewaakt als de bron van uw netwerkverkeer. We raden u aan samen te werken met uw netwerk- of virtualisatieteam om poortspiegeling te configureren.
Belangrijk
Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.
Een poortspiegelingsmethode kiezen
Uw domeincontrollers en de zelfstandige Defender for Identity-sensor kunnen fysiek of virtueel zijn. Hier volgen veelvoorkomende methoden voor poortspiegeling en enkele overwegingen. Zie de productdocumentatie van uw switch- of virtualisatieserver voor meer informatie. De fabrikant van de switch kan verschillende terminologie gebruiken.
| Wijze | Description |
|---|---|
| Switched Port Analyzer (SPAN) | Kopieert netwerkverkeer van een of meer switchpoorten naar een andere switchpoort op dezelfde switch. Zowel de zelfstandige Defender for Identity-sensor als domeincontrollers moeten zijn verbonden met dezelfde fysieke switch. |
| Remote Switch Port Analyzer (RSPAN) | Hiermee kunt u netwerkverkeer bewaken vanaf bronpoorten die zijn gedistribueerd via meerdere fysieke switches. RSPAN kopieert het bronverkeer naar een speciaal geconfigureerd VLAN met RSPAN. Dit VLAN moet naar de andere betrokken switches worden gestameerd. RSPAN werkt op Laag 2. |
| Encapsulated Remote Switch Port Analyzer (ERSPAN) | Een eigen Cisco-technologie die werkt op Laag 3. MET ERSPAN kunt u verkeer tussen switches bewaken zonder dat VLAN-trunks nodig zijn en algemene routeringsinkapseling (GRE) gebruikt om bewaakt netwerkverkeer te kopiƫren. Defender for Identity kan momenteel geen ERSPAN-verkeer rechtstreeks ontvangen. In plaats daarvan: 1. Configureer de ERSPAN-bestemming waarbij het verkeer wordt afgekapt als een switch of router die het verkeer kan ontkapseld. 1. Configureer de switch of router om het ontkapselde verkeer door te sturen naar de zelfstandige Defender for Identity-sensor met behulp van SPAN of RSPAN. |
Notitie
Als de domeincontroller die wordt gespiegeld via een WAN-koppeling is verbonden, controleert u of de WAN-koppeling de extra belasting van het ERSPAN-verkeer kan verwerken.
Defender for Identity ondersteunt alleen verkeersbewaking wanneer het verkeer de NIC en de domeincontroller op dezelfde manier bereikt. Defender for Identity biedt geen ondersteuning voor verkeersbewaking wanneer het verkeer wordt uitgesplitsd naar verschillende poorten.
Ondersteunde opties voor poortspiegeling
In de volgende tabel wordt de ondersteuning van Defender for Identity voor configuraties voor poortspiegeling beschreven:
| Zelfstandige sensor van Defender for Identity | Domeincontroller | Overwegingen |
|---|---|---|
| Virtueel | Virtueel op dezelfde host | De virtuele switch moet poortspiegeling ondersteunen. Als u een van de virtuele machines naar een andere host verplaatst, kan de poortspiegeling worden verbroken. |
| Virtueel | Virtueel op verschillende hosts | Zorg ervoor dat uw virtuele switch dit scenario ondersteunt. |
| Virtueel | Fysiek | Vereist een toegewezen netwerkadapter, anders ziet Defender for Identity al het verkeer dat binnenkomt en uit de host komt, zelfs het verkeer dat wordt verzonden naar de Defender for Identity-cloudservice. |
| Fysiek | Virtueel | Zorg ervoor dat uw virtuele switch ondersteuning biedt voor dit scenario- en poortspiegelingsconfiguratie op uw fysieke switches op basis van het scenario: Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een bereik op switchniveau configureren. Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN* configureren. |
| Fysiek | Fysiek op dezelfde switch | Fysieke switch moet span-/poortspiegeling ondersteunen. |
| Fysiek | Fysiek op een andere switch | Vereist fysieke switches ter ondersteuning van RSPAN of ERSPAN ERSPAN wordt alleen ondersteund wanneer decapsulatie wordt uitgevoerd voordat het verkeer wordt geanalyseerd door Defender for Identity. |
Notitie
De tijd op uw domeincontrollers en de verbonden Defender for Identity-sensor moet binnen 5 minuten na elkaar worden gesynchroniseerd.
Gerelateerde inhoud
Zie voor meer informatie: