Delen via


Vereisten voor zelfstandige sensor van Microsoft Defender for Identity

In dit artikel vindt u de vereisten voor het implementeren van een zelfstandige sensor van Microsoft Defender for Identity, waarbij deze verschillen van de belangrijkste implementatievereisten.

Zie Capaciteit plannen voor de implementatie van Microsoft Defender for Identity voor meer informatie.

Belangrijk

Zelfstandige sensoren van Defender for Identity bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens bieden voor meerdere detecties. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

Extra systeemvereisten voor zelfstandige sensoren

Zelfstandige sensoren verschillen als volgt van de vereisten voor Defender for Identity-sensor:

Zie Poortspiegeling configureren voor meer informatie over het gebruik van virtuele machines met de zelfstandige Defender for Identity-sensor.

Netwerkadapters voor zelfstandige sensoren

Zelfstandige sensoren vereisen ten minste één van de volgende netwerkadapters:

  • Beheeradapters : gebruikt voor communicatie op uw bedrijfsnetwerk. De sensor gebruikt deze adapter om een query uit te voeren op de domeincontroller die het beveiligt en de oplossing uitvoert voor computeraccounts.

    Configureer beheeradapters met statische IP-adressen, waaronder een standaardgateway en voorkeurs- en alternatieve DNS-servers.

    Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.

    Notitie

    Als de zelfstandige Defender for Identity-sensor lid is van het domein, kan dit automatisch worden geconfigureerd.

  • Capture-adapter : wordt gebruikt om verkeer van en naar de domeincontrollers vast te leggen.

    Belangrijk

    • Configureer poortspiegeling voor de capture-adapter als de bestemming van het netwerkverkeer van de domeincontroller. Normaal gesproken moet u samenwerken met het netwerk- of virtualisatieteam om poortspiegeling te configureren.
    • Configureer een statisch, niet-routeerbaar IP-adres (met /32 masker) voor uw omgeving zonder standaardsensorgateway en geen DNS-serveradressen. Bijvoorbeeld: '10.10.0.10/32. Deze configuratie zorgt ervoor dat de capture-netwerkadapter de maximale hoeveelheid verkeer kan vastleggen en dat de beheernetwerkadapter wordt gebruikt voor het verzenden en ontvangen van het vereiste netwerkverkeer.

Notitie

Als u Wireshark uitvoert op de zelfstandige sensor van Defender for Identity, start u de Defender for Identity-sensorservice opnieuw nadat u de Wireshark-opname hebt gestopt. Als u de sensorservice niet opnieuw opstart, stopt de sensor met het vastleggen van verkeer.

Als u de Defender for Identity-sensor probeert te installeren op een computer die is geconfigureerd met een NIC-koppelingsadapter, ontvangt u een installatiefout. Als u de Defender for Identity-sensor wilt installeren op een computer die is geconfigureerd met NIC-koppeling, raadpleegt u het koppelingsprobleem met Defender for Identity Sensor NIC.

Poorten voor zelfstandige sensoren

De volgende tabel bevat de extra poorten die de zelfstandige Defender for Identity-sensor vereist op de beheeradapter, naast poorten die worden vermeld voor de Defender for Identity-sensor.

Protocol Transport Haven Vanaf Tot
Interne poorten
LDAP TCP en UDP 389 Defender for Identity-sensor Domeincontrollers
Secure LDAP (LDAPS) TCP 636 Defender for Identity-sensor Domeincontrollers
LDAP naar globale catalogus TCP 3268 Defender for Identity-sensor Domeincontrollers
LDAPS naar globale catalogus TCP 3269 Defender for Identity-sensor Domeincontrollers
Kerberos TCP en UDP 88 Defender for Identity-sensor Domeincontrollers
Windows Time UDP 123 Defender for Identity-sensor Domeincontrollers
Syslog (optioneel) TCP/UDP 514, afhankelijk van de configuratie SIEM-server Defender for Identity-sensor

Vereisten voor Windows-gebeurtenislogboeken

Defender for Identity-detectie is afhankelijk van specifieke Windows-gebeurtenislogboeken die de sensor parseert van uw domeincontrollers. Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, vereisen uw domeincontrollers nauwkeurige instellingen voor Het geavanceerde controlebeleid van Windows.

Zie Geavanceerde controlebeleidscontrole en Geavanceerd beveiligingscontrolebeleid in de Windows-documentatie voor meer informatie.

Volgende stappen