Micro soft Defender voor vereisten voor identiteitenMicrosoft Defender for Identity prerequisites

In dit artikel worden de vereisten beschreven voor een succes volle implementatie van Micro soft Defender voor identiteitMicrosoft Defender for Identity in uw omgeving.This article describes the requirements for a successful deployment of Micro soft Defender voor identiteitMicrosoft Defender for Identity in your environment.

Notitie

Zie Defender voor identiteitDefender for Identity capaciteits planningvoor meer informatie over het plannen van resources en capaciteit.For information on how to plan resources and capacity, see Defender voor identiteitDefender for Identity capacity planning.

Defender voor identiteitDefender for Identity is samengesteld uit de Defender voor identiteitDefender for Identity Cloud service, die bestaat uit de Defender voor identiteitDefender for Identity Portal en de Defender voor identiteitDefender for Identity sensor.Defender voor identiteitDefender for Identity is composed of the Defender voor identiteitDefender for Identity cloud service, which consists of the Defender voor identiteitDefender for Identity portal and the Defender voor identiteitDefender for Identity sensor. Zie voor meer informatie over elk Defender voor identiteitDefender for Identity onderdeel Defender voor identiteitDefender for Identity architectuur.For more information about each Defender voor identiteitDefender for Identity component, see Defender voor identiteitDefender for Identity architecture.

Defender voor identiteitDefender for Identity beveiligt uw on-premises Active Directory gebruikers en/of gebruikers die zijn gesynchroniseerd met uw Azure Active Directory.Defender voor identiteitDefender for Identity protects your on-premises Active Directory users and/or users synced to your Azure Active Directory. Zie Aad-identiteits beveiligingvoor informatie over het beveiligen van een omgeving die alleen uit Aad-gebruikers bestaat.To protect an environment made up of only AAD users, see AAD Identity Protection.

Als u uw Defender voor identiteitDefender for Identity exemplaar wilt maken, hebt u een Aad-Tenant met ten minste één globale/beveiligings beheerder nodig.To create your Defender voor identiteitDefender for Identity instance, you'll need an AAD tenant with at least one global/security administrator. Elk Defender voor identiteitDefender for Identity exemplaar ondersteunt een forest-boundary van meerdere Active Directory en forest-functionaliteits niveau (FFL) van Windows 2003 en hoger.Each Defender voor identiteitDefender for Identity instance supports a multiple Active Directory forest boundary and Forest Functional Level (FFL) of Windows 2003 and above.

Deze hand leiding is onderverdeeld in de volgende secties om ervoor te zorgen dat u alles hebt wat u nodig hebt om te implementeren Defender voor identiteitDefender for Identity .This prerequisite guide is divided into the following sections to ensure you have everything you need to successfully deploy Defender voor identiteitDefender for Identity.

Voordat u begint: Hier vindt u informatie over de verzamelde en accounts en netwerk entiteiten die u moet hebben voordat u begint met de installatie.Before you start: Lists information to gather and accounts and network entities you'll need to have before starting to install.

Defender voor identiteitDefender for Identity Portal: hierin worden de Defender voor identiteitDefender for Identity vereisten voor de portal browser beschreven.Defender voor identiteitDefender for Identity portal: Describes Defender voor identiteitDefender for Identity portal browser requirements.

Defender voor identiteitDefender for Identity sensor: hier worden de Defender voor identiteitDefender for Identity hardware-en software vereisten voor de sensor weer gegeven.Defender voor identiteitDefender for Identity sensor: Lists Defender voor identiteitDefender for Identity sensor hardware, and software requirements.

Defender voor identiteitDefender for Identity zelfstandige sensor: de Defender voor identiteitDefender for Identity Zelfstandige sensor is geïnstalleerd op een dedicated server en vereist dat poort spiegeling wordt geconfigureerd op de domein controller om netwerk verkeer te ontvangen.Defender voor identiteitDefender for Identity standalone sensor: The Defender voor identiteitDefender for Identity Standalone Sensor is installed on a dedicated server and requires port mirroring to be configured on the domain controller to receive network traffic.

Notitie

Defender voor identiteitDefender for Identity zelfstandige Sens oren bieden geen ondersteuning voor de verzameling van Event Tracing for Windows (ETW)-logboek vermeldingen die de gegevens voor meerdere detecties bevatten.Defender voor identiteitDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Voor een volledige dekking van uw omgeving raden we u aan de sensor te implementeren Defender voor identiteitDefender for Identity .For full coverage of your environment, we recommend deploying the Defender voor identiteitDefender for Identity sensor.

Voordat u begintBefore you start

In deze sectie vindt u informatie die u moet verzamelen, evenals accounts en netwerk entiteit gegevens die u moet hebben voordat u de Defender voor identiteitDefender for Identity installatie start.This section lists information you should gather as well as accounts and network entity information you should have before starting Defender voor identiteitDefender for Identity installation.

  • Schaf rechtstreeks via de Microsoft 365 Portal een licentie aan voor Enterprise Mobility + Security 5 (EMS E5) of gebruik het licentie model van de Cloud Solution partner (CSP).Acquire a license for Enterprise Mobility + Security 5 (EMS E5) directly via the Microsoft 365 portal or use the Cloud Solution Partner (CSP) licensing model. Defender voor identiteitDefender for IdentityEr zijn ook zelfstandige licenties beschikbaar.Standalone Defender voor identiteitDefender for Identity licenses are also available.

  • Controleer of de domein controller (s) waarvoor u Sens oren wilt installeren, Defender voor identiteitDefender for Identity verbinding met internet hebben met de Defender voor identiteitDefender for Identity Cloud service.Verify the domain controller(s) you intend to install Defender voor identiteitDefender for Identity sensors on have internet connectivity to the Defender voor identiteitDefender for Identity Cloud Service. De Defender voor identiteitDefender for Identity sensor ondersteunt het gebruik van een proxy.The Defender voor identiteitDefender for Identity sensor supports the use of a proxy. Zie een proxy configureren voor Defender voor identiteitDefender for Identity voor meer informatie over de proxy configuratie.For more information on proxy configuration, see Configuring a proxy for Defender voor identiteitDefender for Identity.

  • Ten minste één van de volgende Directory Services-accounts met lees toegang tot alle objecten in de bewaakte domeinen:At least one of the following directory services accounts with read access to all objects in the monitored domains:

    • Een standaard -AD-gebruikers account en-wacht woord.A standard AD user account and password. Vereist voor Sens oren waarop Windows Server 2008 R2 SP1 wordt uitgevoerd.Required for sensors running Windows Server 2008 R2 SP1.

    • Een beheerd service account voor een groep (gMSA).A group Managed Service Account (gMSA). Vereist Windows Server 2012 of hoger.Requires Windows Server 2012 or above.
      Alle Sens oren moeten machtigingen hebben om het wacht woord van het gMSA-account op te halen.All sensors must have permissions to retrieve the gMSA account's password.
      Zie aan de slag met door groep beheerde service accountsvoor meer informatie over gMSA-accounts.To learn about gMSA accounts, see Getting Started with Group Managed Service Accounts.

      In de volgende tabel ziet u welke AD-gebruikers accounts kunnen worden gebruikt met welke server versies:The following table shows which AD user accounts can be used with which server versions:

      AccounttypeAccount type Windows Server 2008 R2 SP1Windows Server 2008 R2 SP1 Windows Server 2012 of hogerWindows Server 2012 or above
      Standaard AD-gebruikers accountStandard AD user account JaYes JaYes
      gMSA -accountgMSA account NeeNo JaYes

      Notitie

      • Voor sensor machines met Windows Server 2012 en hoger raden wij u aan om een gMSA -account te gebruiken voor verbeterde beveiliging en automatisch wachtwoord beheer.For sensor machines running Windows Server 2012 and above, we recommend using a gMSA account for its improved security and automatic password management.
      • Als u meerdere Sens oren hebt, een aantal actieve Windows Server 2008 R2 en andere computers met Windows Server 2012 of hoger, moet u, naast de aanbeveling voor het gebruik van een gMSA -account, ook ten minste één standaard AD-gebruikers account gebruiken.If you have multiple sensors, some running Windows Server 2008 R2 and others running Windows Server 2012 or above, in addition to the recommendation to use a gMSA account, you must also use at least one standard AD user account.
      • Als u aangepaste ACL's hebt ingesteld op verschillende organisatie-eenheden (OE's) in uw domein, zorgt u ervoor dat de geselecteerde gebruiker leesmachtigingen heeft voor deze organisatie-eenheden.If you have set custom ACLs on various Organizational Units (OU) in your domain, make sure that the selected user has read permissions to those OUs.
  • Als u wireshark op Defender voor identiteitDefender for Identity een zelfstandige sensor uitvoert, start Defender voor identiteitDefender for Identity u de sensor service opnieuw nadat u de Wireshark capture hebt gestopt.If you run Wireshark on Defender voor identiteitDefender for Identity standalone sensor, restart the Defender voor identiteitDefender for Identity sensor service after you've stopped the Wireshark capture. Als u de sensor service niet opnieuw start, stopt de sensor het vastleggen van verkeer.If you don't restart the sensor service, the sensor stops capturing traffic.

  • Als u probeert de sensor te installeren Defender voor identiteitDefender for Identity op een computer die is geconfigureerd met een NIC-koppelings adapter, ontvangt u een installatie fout.If you attempt to install the Defender voor identiteitDefender for Identity sensor on a machine configured with a NIC Teaming adapter, you'll receive an installation error. Defender voor identiteitDefender for IdentityZie Defender voor identiteitDefender for Identity sensor NIC-koppelings problemen als u de sensor wilt installeren op een computer die is geconfigureerd met NIC-koppeling.If you want to install the Defender voor identiteitDefender for Identity sensor on a machine configured with NIC teaming, see Defender voor identiteitDefender for Identity sensor NIC teaming issue.

  • Aanbeveling Verwijderde objecten container: de gebruiker moet alleen-lezen-machtigingen hebben voor de container met verwijderde objecten.Deleted Objects container Recommendation: User should have read-only permissions on the Deleted Objects container. Met alleen-lezen-machtigingen voor deze container kunnen Defender voor identiteitDefender for Identity gebruikers verwijderingen van uw Active Directory detecteren.Read-only permissions on this container allows Defender voor identiteitDefender for Identity to detect user deletions from your Active Directory. Voor informatie over het configureren van alleen-lezen-machtigingen voor de container verwijderde objecten, zie de sectie gewijzigde machtigingen op een verwijderde object container van de weer gave of stel machtigingen instellen voor een Active Directory-object .For information about configuring read-only permissions on the Deleted Objects container, see the Changing permissions on a deleted object container section of the View or Set Permissions on a Directory Object article.

  • Optionele Honeytoken: een gebruikers account van een gebruiker die geen netwerk activiteiten heeft.Optional Honeytoken: A user account of a user who has no network activities. Dit account is geconfigureerd als een Defender voor identiteitDefender for Identity Honeytoken-gebruiker.This account is configured as a Defender voor identiteitDefender for Identity Honeytoken user. Zie voor meer informatie over het gebruik van Honeytokens uitsluitingen configureren en Honeytoken gebruiker.For more information about using Honeytokens, see Configure exclusions and Honeytoken user.

  • Optioneel: wanneer de zelfstandige sensor wordt geïmplementeerd, is het nodig om Windows-gebeurtenissen door te sturen naar Defender voor identiteitDefender for Identity om Defender voor identiteitDefender for Identity op verificatie gebaseerde detecties verder te verbeteren, toevoegingen aan gevoelige groepen en detecties van verdachte service aanmaak.Optional: When deploying the standalone sensor, it is necessary to forward Windows events to Defender voor identiteitDefender for Identity to further enhance Defender voor identiteitDefender for Identity authentication based detections, additions to sensitive groups and suspicious service creation detections. Defender voor identiteitDefender for Identity sensor ontvangt deze gebeurtenissen automatisch.Defender voor identiteitDefender for Identity sensor receives these events automatically. In Defender voor identiteitDefender for Identity een zelfstandige sensor kunnen deze gebeurtenissen worden ontvangen van uw Siem of door het door sturen van Windows-gebeurtenissen vanaf uw domein controller in te stellen.In Defender voor identiteitDefender for Identity standalone sensor, these events can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Verzamelde gebeurtenissen bieden Defender voor identiteitDefender for Identity aanvullende informatie die niet beschikbaar is via het netwerk verkeer van de domein controller.Events collected provide Defender voor identiteitDefender for Identity with additional information that is not available via the domain controller network traffic.

Defender voor vereisten voor identiteits PortalDefender for Identity portal requirements

Toegang tot de Defender voor identiteitDefender for Identity Portal is via een browser, die de volgende browsers en instellingen ondersteunt:Access to the Defender voor identiteitDefender for Identity portal is via a browser, supporting the following browsers and settings:

  • Een browser die TLS 1,2 ondersteunt, zoals:A browser that supports TLS 1.2, such as:

    • Microsoft EdgeMicrosoft Edge
    • Internet Explorer versie 11 en hogerInternet Explorer version 11 and above
    • Google Chrome 30,0 en hogerGoogle Chrome 30.0 and above
  • Schermresolutie van minimaal 1700 pixels breedMinimum screen width resolution of 1700 pixels

  • Firewall/proxy open-om te communiceren met de Defender voor identiteitDefender for Identity Cloud service, *. ATP.Azure.com poort 443 moet zijn geopend in uw firewall/proxy.Firewall/proxy open - To communicate with the Defender voor identiteitDefender for Identity cloud service, *.atp.azure.com port 443 must be open in your firewall/proxy.

    Notitie

    U kunt ook onze Azure service tag (AzureAdvancedThreatProtection) gebruiken om toegang in te scha kelen Defender voor identiteitDefender for Identity .You can also use our Azure service tag (AzureAdvancedThreatProtection) to enable access to Defender voor identiteitDefender for Identity. Zie service tags van het virtuele netwerk of down load het bestand met Service Tags voor meer informatie over service tags.For more information about service tags, see Virtual network service tags or download the service tags file.

[! INCLUSIEF [product short] (inclusief/product-short. MD)] architectuur diagram

Notitie

Defender voor identiteitDefender for IdentityBiedt standaard ondersteuning voor Maxi maal 200 Sens oren.By default, Defender voor identiteitDefender for Identity supports up to 200 sensors. Als u meer Sens oren wilt installeren, neemt u contact op met de Defender voor identiteitDefender for Identity ondersteuning.If you want to install more sensors, contact Defender voor identiteitDefender for Identity support.

Defender voor vereisten voor identiteits netwerk naam omzetting (NNR)Defender for Identity Network Name Resolution (NNR) requirements

Network Name Resolution (NNR) is een belang rijke onderdeel van de Defender voor identiteitDefender for Identity functionaliteit.Network Name Resolution (NNR) is a main component of Defender voor identiteitDefender for Identity functionality. Defender voor identiteitDefender for IdentitySens oren zoeken de IP-adressen aan de hand van de volgende methoden om IP-adressen om te zetten in computer namen:To resolve IP addresses to computer names, Defender voor identiteitDefender for Identity sensors look up the IP addresses using the following methods:

  • NTLM via RPC (TCP-poort 135)NTLM over RPC (TCP Port 135)
  • NetBIOS (UDP-poort 137)NetBIOS (UDP port 137)
  • RDP (TCP-poort 3389): alleen het eerste pakket van Client helloRDP (TCP port 3389) - only the first packet of Client hello
  • Query's uitvoeren op de DNS-server met reverse DNS-zoek opdracht van het IP-adres (UDP 53)Queries the DNS server using reverse DNS lookup of the IP address (UDP 53)

De eerste drie methoden werken alleen als de relevante poorten worden geopend vanaf de Defender voor identiteitDefender for Identity Sens oren naar apparaten in het netwerk.For the first three methods to work, the relevant ports must be opened inbound from the Defender voor identiteitDefender for Identity sensors to devices on the network. Defender voor identiteitDefender for IdentityZie Defender voor identiteitDefender for Identity NNR Policy(Engelstalig) voor meer informatie over en NNR.To learn more about Defender voor identiteitDefender for Identity and NNR, see Defender voor identiteitDefender for Identity NNR policy.

Voor de beste resultaten raden we u aan om alle methoden te gebruiken.For the best results, we recommend using all of the methods. Als dit niet mogelijk is, moet u de DNS-Zoek methode en ten minste een van de andere methoden gebruiken.If this is not possible, you should use the DNS lookup method and at least one of the other methods.

Defender voor vereisten voor de identiteits sensorDefender for Identity sensor requirements

In deze sectie vindt u de vereisten voor de Defender voor identiteitDefender for Identity sensor.This section lists the requirements for the Defender voor identiteitDefender for Identity sensor.

AlgemeenGeneral

De Defender voor identiteitDefender for Identity sensor ondersteunt de installatie op domein controllers of Active Directory Federation Services servers (AD FS), zoals wordt weer gegeven in de volgende tabel.The Defender voor identiteitDefender for Identity sensor supports installation on domain controllers or Active Directory Federation Services (AD FS) servers, as shown in the following table.

Versie van besturingssysteemOperating system version Server met bureaublad ervaringServer with Desktop Experience Server CoreServer Core Nano ServerNano Server Ondersteunde installatiesSupported installations
Windows Server 2008 R2 SP1Windows Server 2008 R2 SP1 Niet van toepassingNot applicable DomeincontrollerDomain controller
Windows Server 2012Windows Server 2012 Niet van toepassingNot applicable DomeincontrollerDomain controller
Windows Server 2012 R2Windows Server 2012 R2 Niet van toepassingNot applicable DomeincontrollerDomain controller
Windows Server 2016Windows Server 2016 Domein controller, AD FSDomain controller, AD FS
Windows Server 2019*Windows Server 2019* Domein controller, AD FSDomain controller, AD FS

* Vereist een cumulatieve update van KB4487044 of hoger.* Requires KB4487044 or newer cumulative update. Sens oren die zijn geïnstalleerd op server 2019 zonder deze update, worden automatisch gestopt als de bestands versie van het ntdsai.dll bestand in de systeemmap ouder is dan 10.0.17763.316.Sensors installed on Server 2019 without this update will be automatically stopped if the file version of the ntdsai.dll file in the system directory is older than 10.0.17763.316.

De domein controller kan een alleen-lezen domein controller (RODC) zijn.The domain controller can be a read-only domain controller (RODC).

Voor Sens oren die worden uitgevoerd op domein controllers en AD FS om te communiceren met de Cloud service, moet u poort 443 openen in uw firewalls en proxy's tot *.atp.azure.com .For sensors running on domain controllers and AD FS to communicate with the cloud service, you must open port 443 in your firewalls and proxies to *.atp.azure.com. Als u installeert op een AD FS-Farm, raden we u aan om de sensor op elke AD FS server of ten minste op het primaire knoop punt te installeren.If you are installing on an AD FS farm, we recommend installing the sensor on each AD FS server, or at least on the primary node.

Als .NET Framework 4,7 of hoger niet is geïnstalleerd tijdens de installatie, wordt .NET Framework 4,7 geïnstalleerd en moet de server mogelijk opnieuw worden opgestart.During installation, if .Net Framework 4.7 or later is not installed, the .Net Framework 4.7 is installed and might require a reboot of the server. Opnieuw opstarten is mogelijk ook vereist als er al een herstart in behandeling is.A reboot might also be required if there is a restart already pending.

Notitie

Er is mini maal 5 GB schijf ruimte vereist en 10 GB wordt aanbevolen.A minimum of 5 GB of disk space is required and 10 GB is recommended. Dit omvat de benodigde ruimte voor de Defender voor identiteitDefender for Identity binaire bestanden, Defender voor identiteitDefender for Identity Logboeken en prestatie Logboeken.This includes space needed for the Defender voor identiteitDefender for Identity binaries, Defender voor identiteitDefender for Identity logs, and performance logs.

ServerspecificatiesServer specifications

Defender voor identiteitDefender for IdentityVoor de sensor zijn mini maal twee kernen en 6 GB RAM-geheugen op de domein controller vereist.The Defender voor identiteitDefender for Identity sensor requires a minimum of 2 cores and 6 GB of RAM installed on the domain controller. Voor optimale prestaties stelt u de optie energie van de computer waarop de Defender voor identiteitDefender for Identity sensor wordt uitgevoerd in op hoge prestaties.For optimal performance, set the Power Option of the machine running the Defender voor identiteitDefender for Identity sensor to High Performance.

Defender voor identiteitDefender for Identity Sens oren kunnen worden geïmplementeerd op domein controllers of AD FS servers van verschillende belasting en grootten, afhankelijk van de hoeveelheid netwerk verkeer van en naar de servers en de hoeveelheid resources die is geïnstalleerd.Defender voor identiteitDefender for Identity sensors can be deployed on domain controller or AD FS servers of various loads and sizes, depending on the amount of network traffic to and from the servers, and the amount of resources installed.

Voor Windows-besturings systemen 2008R2 en 2012 Defender voor identiteitDefender for Identity wordt de sensor niet ondersteund in een groeps modus met meerdere processors .For Windows Operating systems 2008R2 and 2012, the Defender voor identiteitDefender for Identity sensor is not supported in a Multi Processor Group mode. Zie probleem oplossingvoor meer informatie over de groeps modus voor meerdere processors.For more information about multi-processor group mode, see troubleshooting.

Notitie

Als een virtuele machine wordt uitgevoerd, wordt dynamisch geheugen of een andere functie voor geheugen ballonnen niet ondersteund.When running as a virtual machine, dynamic memory or any other memory ballooning feature is not supported.

Defender voor identiteitDefender for IdentityZie Defender voor identiteitDefender for Identity capaciteits planningvoor meer informatie over de hardwarevereisten voor de sensor.For more information about the Defender voor identiteitDefender for Identity sensor hardware requirements, see Defender voor identiteitDefender for Identity capacity planning.

TijdsynchronisatieTime synchronization

Op de servers en domein controllers waarop de sensor is geïnstalleerd, moet de tijd zijn gesynchroniseerd binnen vijf minuten van elkaar.The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

NetwerkadaptersNetwork adapters

De Defender voor identiteitDefender for Identity sensor bewaakt het lokale verkeer op alle netwerk adapters van de domein controller.The Defender voor identiteitDefender for Identity sensor monitors the local traffic on all of the domain controller's network adapters.
Na de implementatie kunt u de Defender voor identiteitDefender for Identity Portal gebruiken om te wijzigen welke netwerk adapters worden bewaakt.After deployment, use the Defender voor identiteitDefender for Identity portal to modify which network adapters are monitored.

De sensor wordt niet ondersteund op domein controllers met Windows 2008 R2 met de netwerk adapter koppeling van Broadcom ingeschakeld.The sensor is not supported on domain controllers running Windows 2008 R2 with Broadcom Network Adapter Teaming enabled.

PoortenPorts

De volgende tabel bevat de minimale poorten die de Defender voor identiteitDefender for Identity sensor vereist:The following table lists the minimum ports that the Defender voor identiteitDefender for Identity sensor requires:

ProtocolProtocol TransportTransport PoortPort VanFrom TotTo
Internet poortenInternet ports
SSL ( * . ATP.Azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor Defender voor identiteitDefender for Identity Cloud serviceDefender voor identiteitDefender for Identity cloud service
Interne poortenInternal ports
DNSDNS TCP en UDPTCP and UDP 5353 Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor DNS-serversDNS Servers
Netlogon (SMB, CIFS, SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP/UDPTCP/UDP 445445 Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor Alle apparaten op het netwerkAll devices on network
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor
Localhost-poorten*Localhost ports* Vereist voor de sensor service-updaterRequired for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 Sensor serviceSensor Service Sensor Updater-ServiceSensor Updater Service
NNR-poorten**NNR ports**
NTLM via RPCNTLM over RPC TCPTCP Poort 135Port 135 Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network
RDPRDP TCPTCP 3389, alleen het eerste pakket van client Hello3389, only the first packet of Client hello Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network

* Localhost is standaard toegestaan voor localhost-verkeer tenzij een aangepast firewall beleid dit blokkeert.* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** Een van deze poorten is vereist, maar we raden u aan om deze te openen.** One of these ports is required, but we recommend opening all of them.

Windows-gebeurtenis logboekenWindows Event logs

Defender voor identiteitDefender for Identity detectie is afhankelijk van specifieke Windows-gebeurtenis logboeken die de sensor van uw domein controllers parseert.Defender voor identiteitDefender for Identity detection relies on specific Windows Event logs that the sensor parses from your domain controllers. Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenis logboek, moeten uw domein controllers nauw keurige geavanceerde instellingen voor het controle beleid hebben.For the correct events to be audited and included in the Windows Event log, your domain controllers require accurate Advanced Audit Policy settings. Zie Geavanceerd controle beleidvoor meer informatie over het instellen van het juiste beleid.For more information about setting the correct policies, see, Advanced audit policy check. Controleer uw NTLM-controle-instellingenom ervoor te zorgen dat Windows-gebeurtenis 8004 wordt gecontroleerd als dat nodig is voor de service.To make sure Windows Event 8004 is audited as needed by the service, review your NTLM audit settings.

Voor Sens oren die op AD FS servers worden uitgevoerd, configureert u het controle niveau in uitgebreid.For sensors running on AD FS servers, configure the auditing level to Verbose. Zie gebeurtenis controle-informatie voor AD FSvoor meer informatie over het configureren van het controle niveau.For information on how to configure the auditing level, see Event auditing information for AD FS.

Notitie

Met behulp van het gebruikers account van de Directory service vraagt de sensor de eind punten in uw organisatie voor lokale beheerders met behulp van SAM-R (netwerk aanmelding) om de grafiek van het pad naar de zijdelingse verplaatsingte maken.Using the Directory service user account, the sensor queries endpoints in your organization for local admins using SAM-R (network logon) in order to build the lateral movement path graph. Zie Configure Sam-R required permissions(Engelstalig) voor meer informatie.For more information, see Configure SAM-R required permissions.

Defender voor vereisten voor zelfstandige identiteits sensorsDefender for Identity standalone sensor requirements

In deze sectie vindt u de vereisten voor de Defender voor identiteitDefender for Identity zelfstandige sensor.This section lists the requirements for the Defender voor identiteitDefender for Identity standalone sensor.

Notitie

Defender voor identiteitDefender for Identity zelfstandige Sens oren bieden geen ondersteuning voor de verzameling van Event Tracing for Windows (ETW)-logboek vermeldingen die de gegevens voor meerdere detecties bevatten.Defender voor identiteitDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Voor een volledige dekking van uw omgeving raden we u aan de sensor te implementeren Defender voor identiteitDefender for Identity .For full coverage of your environment, we recommend deploying the Defender voor identiteitDefender for Identity sensor.

AlgemeenGeneral

De Defender voor identiteitDefender for Identity zelfstandige sensor ondersteunt installatie op een server met Windows server 2012 R2 of Windows server 2016 (include Server Core).The Defender voor identiteitDefender for Identity standalone sensor supports installation on a server running Windows Server 2012 R2 or Windows Server 2016 (Include server core). De Defender voor identiteitDefender for Identity zelfstandige sensor kan worden geïnstalleerd op een server die lid is van een domein of werk groep.The Defender voor identiteitDefender for Identity standalone sensor can be installed on a server that is a member of a domain or workgroup. De Defender voor identiteitDefender for Identity zelfstandige sensor kan worden gebruikt voor het bewaken van domein controllers met het functionele domein niveau van Windows 2003 en hoger.The Defender voor identiteitDefender for Identity standalone sensor can be used to monitor Domain Controllers with Domain Functional Level of Windows 2003 and above.

Als u wilt dat uw zelfstandige sensor communiceert met de Cloud service, wordt poort 443 in uw firewalls en proxy's aan *. atp.azure.com moet zijn geopend.For your standalone sensor to communicate with the cloud service, port 443 in your firewalls and proxies to *.atp.azure.com must be open.

Defender voor identiteitDefender for IdentityZie poort spiegeling configurerenvoor meer informatie over het gebruik van virtuele machines met de zelfstandige sensor.For information on using virtual machines with the Defender voor identiteitDefender for Identity standalone sensor, see Configure port mirroring.

Notitie

Er is mini maal 5 GB schijf ruimte vereist en 10 GB wordt aanbevolen.A minimum of 5 GB of disk space is required and 10 GB is recommended. Dit omvat de benodigde ruimte voor de Defender voor identiteitDefender for Identity binaire bestanden, Defender voor identiteitDefender for Identity Logboeken en prestatie Logboeken.This includes space needed for the Defender voor identiteitDefender for Identity binaries, Defender voor identiteitDefender for Identity logs, and performance logs.

ServerspecificatiesServer specifications

Voor optimale prestaties stelt u de optie energie van de computer waarop de Defender voor identiteitDefender for Identity zelfstandige sensor wordt uitgevoerd in op hoge prestaties.For optimal performance, set the Power Option of the machine running the Defender voor identiteitDefender for Identity standalone sensor to High Performance.

Defender voor identiteitDefender for Identity zelfstandige Sens oren kunnen het bewaken van meerdere domein controllers ondersteunen, afhankelijk van de hoeveelheid netwerk verkeer van en naar de domein controllers.Defender voor identiteitDefender for Identity standalone sensors can support monitoring multiple domain controllers, depending on the amount of network traffic to and from the domain controllers.

Notitie

Als een virtuele machine wordt uitgevoerd, wordt dynamisch geheugen of een andere functie voor geheugen ballonnen niet ondersteund.When running as a virtual machine, dynamic memory or any other memory ballooning feature is not supported.

Defender voor identiteitDefender for IdentityZie Defender voor identiteitDefender for Identity capaciteits planningvoor meer informatie over de hardware-vereisten voor de zelfstandige sensor.For more information about the Defender voor identiteitDefender for Identity standalone sensor hardware requirements, see Defender voor identiteitDefender for Identity capacity planning.

TijdsynchronisatieTime synchronization

Op de servers en domein controllers waarop de sensor is geïnstalleerd, moet de tijd zijn gesynchroniseerd binnen vijf minuten van elkaar.The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

NetwerkadaptersNetwork adapters

De Defender voor identiteitDefender for Identity zelfstandige sensor vereist ten minste één beheer adapter en ten minste één Capture-adapter:The Defender voor identiteitDefender for Identity standalone sensor requires at least one Management adapter and at least one Capture adapter:

  • Beheer adapter : wordt gebruikt voor communicatie in uw bedrijfs netwerk.Management adapter - used for communications on your corporate network. De sensor gebruikt deze adapter om een query uit te voeren op de domein controller die de computer beveiligt en de oplossing voor machine accounts uitvoert.The sensor will use this adapter to query the DC it's protecting and performing resolution to machine accounts.

    Deze adapter moet worden geconfigureerd met de volgende instellingen:This adapter should be configured with the following settings:

    • Statisch IP-adres, met inbegrip van standaardgatewayStatic IP address including default gateway

    • Voorkeurservers en alternatieve DNS-serversPreferred and alternate DNS servers

    • Het DNS-achtervoegsel voor deze verbinding moet de DNS-naam van het domein zijn voor elk domein dat wordt bewaakt.The DNS suffix for this connection should be the DNS name of the domain for each domain being monitored.

      DNS-achtervoegsel in geavanceerde TCP/IP-instellingen configureren

      Notitie

      Als de Defender voor identiteitDefender for Identity zelfstandige sensor lid is van het domein, kan dit automatisch worden geconfigureerd.If the Defender voor identiteitDefender for Identity standalone sensor is a member of the domain, this may be configured automatically.

  • Capture-adapter : wordt gebruikt voor het vastleggen van verkeer van en naar de domein controllers.Capture adapter - used to capture traffic to and from the domain controllers.

    Belangrijk

    • Configureer poortspiegeling voor de capture-adapter als het doel van het netwerkverkeer van de domeincontroller.Configure port mirroring for the capture adapter as the destination of the domain controller network traffic. Zie poort spiegeling configurerenvoor meer informatie.For more information, see Configure port mirroring. Normaal gesp roken moet u samen werken met het netwerk of het Virtualization-team om poort spiegeling te configureren.Typically, you need to work with the networking or virtualization team to configure port mirroring.
    • Configureer een statisch niet-routeerbaar IP-adres (met/32 masker) voor uw omgeving zonder standaard sensor gateway en geen DNS-server adressen.Configure a static non-routable IP address (with /32 mask) for your environment with no default sensor gateway and no DNS server addresses. Bijvoorbeeld 10.10.0.10/32.For example, 10.10.0.10/32. Dit zorgt ervoor dat de netwerk adapter voor vastleggen de maximale hoeveelheid verkeer kan vastleggen en dat de Management-netwerk adapter wordt gebruikt voor het verzenden en ontvangen van het vereiste netwerk verkeer.This ensures that the capture network adapter can capture the maximum amount of traffic and that the management network adapter is used to send and receive the required network traffic.

PoortenPorts

De volgende tabel geeft een lijst van de minimale poorten waarvoor de Defender voor identiteitDefender for Identity zelfstandige sensor is geconfigureerd op de beheer adapter:The following table lists the minimum ports that the Defender voor identiteitDefender for Identity standalone sensor requires configured on the management adapter:

ProtocolProtocol TransportTransport PoortPort VanFrom TotTo
Internet poortenInternet ports
SSL ( * . ATP.Azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor Defender voor identiteitDefender for Identity Cloud serviceDefender voor identiteitDefender for Identity cloud service
Interne poortenInternal ports
LDAPLDAP TCP en UDPTCP and UDP 389389 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
Beveiligde LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
LDAP naar globale catalogusLDAP to Global Catalog TCPTCP 32683268 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
LDAPS naar globale catalogusLDAPS to Global Catalog TCPTCP 32693269 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
KerberosKerberos TCP en UDPTCP and UDP 8888 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
Netlogon (SMB, CIFS, SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP en UDPTCP and UDP 445445 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor Alle apparaten op het netwerkAll devices on network
Windows TimeWindows Time UDPUDP 123123 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DomeincontrollersDomain controllers
DNSDNS TCP en UDPTCP and UDP 5353 Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor DNS-serversDNS Servers
Syslog (optioneel)Syslog (optional) TCP/UDPTCP/UDP 514, afhankelijk van de configuratie514, depending on configuration SIEM-serverSIEM Server Defender voor identiteitDefender for Identity SensorenDefender voor identiteitDefender for Identity Sensor
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Defender voor identiteitDefender for Identity sensorenDefender voor identiteitDefender for Identity sensor
Localhost-poorten*Localhost ports* Vereist voor de sensor service-updaterRequired for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 Sensor serviceSensor Service Sensor Updater-ServiceSensor Updater Service
NNR-poorten**NNR ports**
NTLM via RPCNTLM over RPC TCPTCP 135135 Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network
RDPRDP TCPTCP 3389, alleen het eerste pakket van client Hello3389, only the first packet of Client hello Defender voor identiteitDefender for Identity Alle apparaten op het netwerkAll devices on network

* Localhost is standaard toegestaan voor localhost-verkeer tenzij een aangepast firewall beleid dit blokkeert.* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** Een van deze poorten is vereist, maar we raden u aan om deze te openen.** One of these ports is required, but we recommend opening all of them.

Notitie

Zie ookSee Also