Poortspiegeling configurerenConfigure port mirroring

Dit artikel is alleen relevant als u Micro soft Defender voor identiteitMicrosoft Defender for Identity zelfstandige Sens oren in plaats van Defender voor identiteitDefender for Identity Sens oren implementeert.This article is relevant only if you deploy Micro soft Defender voor identiteitMicrosoft Defender for Identity standalone sensors instead of Defender voor identiteitDefender for Identity sensors.

Notitie

Defender voor identiteitDefender for Identity zelfstandige Sens oren bieden geen ondersteuning voor de verzameling van Event Tracing for Windows (ETW)-logboek vermeldingen die de gegevens voor meerdere detecties bevatten.Defender voor identiteitDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Voor een volledige dekking van uw omgeving raden we u aan de sensor te implementeren Defender voor identiteitDefender for Identity .For full coverage of your environment, we recommend deploying the Defender voor identiteitDefender for Identity sensor.

De hoofd gegevens bron die wordt gebruikt door Defender voor identiteitDefender for Identity , is een diepe pakket inspectie van het netwerk verkeer van en naar uw domein controllers.The main data source used by Defender voor identiteitDefender for Identity is deep packet inspection of the network traffic to and from your domain controllers. Voor Defender voor identiteitDefender for Identity om het netwerk verkeer te zien, moet u poort spiegeling configureren of een netwerk kraan gebruiken.For Defender voor identiteitDefender for Identity to see the network traffic, you must either configure port mirroring, or use a Network TAP.

Configureer voor poortspiegeling Poortspiegeling als de bron van het netwerkverkeer voor elke domeincontroller die u wilt bewaken.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. Normaal gesp roken moet u samen werken met het netwerk of het Virtualization-team om poort spiegeling te configureren.Typically, you need to work with the networking or virtualization team to configure port mirroring. Zie de documentatie van uw leverancier voor meer informatie.For more information, see your vendor's documentation.

Uw domein controllers en Defender voor identiteitDefender for Identity een zelfstandige sensor kunnen fysiek of virtueel zijn.Your domain controllers and Defender voor identiteitDefender for Identity standalone sensor can be either physical or virtual. Hier volgen veelgebruikte methoden voor het spiegelen van poorten, evenals enkele afwegingen.The following are common methods for port mirroring and some considerations. Raadpleeg de product documentatie van uw switch of virtualisatie server voor meer informatie.For more information, see your switch or virtualization server product documentation. De fabrikant van de switch gebruikt mogelijk andere terminologie.Your switch manufacturer might use different terminology.

Switched Port Analyzer (SPAN): kopieert netwerkverkeer vanaf een of meer switchpoorten naar een andere switchpoort op dezelfde switch.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. Zowel de Defender voor identiteitDefender for Identity zelfstandige sensor als de domein controllers moeten zijn verbonden met dezelfde fysieke switch.Both the Defender voor identiteitDefender for Identity standalone sensor and domain controllers must be connected to the same physical switch.

Remote Switch Port Analyzer (RSPAN): hiermee kunt u netwerkverkeer van bronpoorten bewaken die zijn verdeeld over meerdere fysieke switches.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSAPN kopieert het bronverkeer naar een speciale voor RSPAN geconfigureerde VLAN.RSPAN copies the source traffic into a special RSPAN configured VLAN. Deze VLAN moet worden gekoppeld aan andere switches die erbij betrokken zijn.This VLAN needs to be trunked to the other switches involved. RSPAN werkt op Laag 2.RSPAN works at Layer 2.

Encapsulated Remote Switch Port Analyzer (ERSPAN): dit is een technologie van Cisco die werkt op Laag 3.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. Met ERSPAN kunt u netwerkverkeer tussen switches bewaken zonder VLAN-transmissielijnen.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. ERSPAN maakt gebruik van Generic Routing Encapsulation (GRE) voor het kopiëren van bewaakt netwerkverkeer.ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. Defender voor identiteitDefender for Identity kan momenteel niet rechtstreeks ERSPAN-verkeer ontvangen.Defender voor identiteitDefender for Identity currently cannot directly receive ERSPAN traffic. Voor Defender voor identiteitDefender for Identity het werken met ERSPAN-verkeer moet een switch of router die het verkeer kan pakt, worden geconfigureerd als de bestemming van ERSPAN waar het verkeer wordt ontkapselde.For Defender voor identiteitDefender for Identity to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic is decapsulated. Configureer vervolgens de switch of router om het ontkapselde-verkeer door te sturen naar de Defender voor identiteitDefender for Identity zelfstandige sensor met behulp van een reeks of RSPAN.Then configure the switch or router to forward the decapsulated traffic to the Defender voor identiteitDefender for Identity standalone sensor using either SPAN or RSPAN.

Notitie

Als de domeincontroller waarvan de poort wordt gespiegeld, is verbonden via een WAN-verbinding, zorgt u ervoor dat de WAN-verbinding de extra belasting van het ERSPAN-verkeer kan verwerken.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. Defender voor identiteitDefender for Identity biedt alleen ondersteuning voor verkeers bewaking wanneer het verkeer de NIC en de domein controller op dezelfde manier bereikt.Defender voor identiteitDefender for Identity only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. Defender voor identiteitDefender for Identity biedt geen ondersteuning voor verkeers bewaking wanneer het verkeer wordt uitgesplitst naar verschillende poorten.Defender voor identiteitDefender for Identity does not support traffic monitoring when the traffic is broken out to different ports.

Ondersteunde opties voor poortspiegelingSupported port mirroring options

Defender voor identiteitDefender for Identity zelfstandige sensorDefender voor identiteitDefender for Identity standalone sensor DomeincontrollerDomain Controller OverwegingenConsiderations
VirtueelVirtual Virtueel op dezelfde hostVirtual on same host De virtuele switch moet poortspiegeling ondersteunen.The virtual switch needs to support port mirroring.

Als u een van de virtuele machines zichzelf naar een andere host laat verplaatsen, zorgt dit er mogelijk voor dat de poortspiegeling niet meer werkt.Moving one of the virtual machines to another host by itself may break the port mirroring.
VirtueelVirtual Virtueel op verschillende hostsVirtual on different hosts Zorg ervoor dat uw virtuele switch ondersteuning biedt voor dit scenario.Make sure your virtual switch supports this scenario.
VirtueelVirtual FysiekPhysical Vereist dat een specifieke netwerk adapter Defender voor identiteitDefender for Identity alle verkeer in en uit de host ziet, zelfs het verkeer dat wordt verzonden naar de Defender voor identiteitDefender for Identity Cloud service.Requires a dedicated network adapter otherwise Defender voor identiteitDefender for Identity sees all of the traffic coming in and out of the host, even the traffic it sends to the Defender voor identiteitDefender for Identity cloud service.
FysiekPhysical VirtueelVirtual Zorg ervoor dat uw virtuele switch dit scenario ondersteunt, evenals de poortspiegelingconfiguratie van uw fysieke switches op basis van dit scenario:Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Als de virtuele host zich op dezelfde fysieke switch bevindt, moet u een switch niveau-reeks configureren.If the virtual host is on the same physical switch, you need to configure a switch level span.

Als de virtuele host zich op een andere switch bevindt, moet u RSPAN of ERSPAN configureren*.If the virtual host is on a different switch, you need to configure RSPAN or ERSPAN*.
FysiekPhysical Fysiek op dezelfde switchPhysical on the same switch De fysieke switch moet ondersteuning bieden voor SPAN/poortspiegeling.Physical switch must support SPAN/Port Mirroring.
FysiekPhysical Fysiek op een andere switchPhysical on a different switch Vereist fysieke switches voor ondersteuning van RSPAN of ERSPAN*.Requires physical switches to support RSPAN or ERSPAN*.

* ERSPAN wordt alleen ondersteund wanneer ontkapseling wordt uitgevoerd voordat het verkeer door wordt geanalyseerd Defender voor identiteitDefender for Identity .* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by Defender voor identiteitDefender for Identity.

Notitie

Zorg ervoor dat domein controllers en de Defender voor identiteitDefender for Identity zelfstandige sensor waarmee ze verbinding maken, binnen vijf minuten van elkaar zijn gesynchroniseerd.Make sure that domain controllers and the Defender voor identiteitDefender for Identity standalone sensor to which they connect have time synchronized to within five minutes of each other.

Als u met virtualisatieclusters werkt:If you are working with virtualization clusters:

  • Voor elke domein controller die wordt uitgevoerd op het virtualisatie cluster op een virtuele machine met de Defender voor identiteitDefender for Identity zelfstandige sensor, configureert u de affiniteit tussen de domein controller en de Defender voor identiteitDefender for Identity zelfstandige sensor.For each domain controller running on the virtualization cluster in a virtual machine with the Defender voor identiteitDefender for Identity standalone sensor, configure affinity between the domain controller and the Defender voor identiteitDefender for Identity standalone sensor. Op deze manier wanneer de domein controller naar een andere host in het cluster Defender voor identiteitDefender for Identity wordt verplaatst, volgt de zelfstandige sensor deze.This way when the domain controller moves to another host in the cluster the Defender voor identiteitDefender for Identity standalone sensor follows it. Deze methode is zeer geschikt als er meerdere domeincontrollers zijn.This works well when there are a few domain controllers.

    Notitie

    Als uw omgeving ondersteuning biedt voor virtueel naar virtueel op verschillende hosts (RSPAN), hoeft u zich geen zorgen te maken over de affiniteit.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity.

  • Als u er zeker van wilt zijn dat de Defender voor identiteitDefender for Identity zelfstandige sensor op de juiste manier wordt aangepast aan het bewaken van alle dc's, probeert u deze optie: Installeer een virtuele machine op elke virtualisatiehost en installeer een Defender voor identiteitDefender for Identity zelfstandige sensor op elke host.To make sure the Defender voor identiteitDefender for Identity standalone sensor are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install a Defender voor identiteitDefender for Identity standalone sensor on each host. Configureer elke Defender voor identiteitDefender for Identity zelfstandige sensor zo dat alle domein controllers die op het cluster worden uitgevoerd, worden bewaakt.Configure each Defender voor identiteitDefender for Identity standalone sensor to monitor all of the domain controllers that run on the cluster. Op deze manier wordt een host gecontroleerd waarop de domein controllers worden uitgevoerd.This way, any host the domain controllers run on is monitored.

Nadat u poort spiegeling hebt geconfigureerd, moet u controleren of poort spiegeling werkt voordat u de Defender voor identiteitDefender for Identity zelfstandige sensor installeert.After configuring port mirroring, validate that port mirroring is working before installing the Defender voor identiteitDefender for Identity standalone sensor.

Zie ookSee Also