Предварительные требования для работы с Microsoft Defender для удостоверенийMicrosoft Defender for Identity prerequisites

В этой статье описываются требования для успешного развертывания Microsoft Defender для удостоверенийMicrosoft Defender for Identity в среде.This article describes the requirements for a successful deployment of Microsoft Defender для удостоверенийMicrosoft Defender for Identity in your environment.

Примечание

Дополнительные сведения о планировании ресурсов и производительности см. в статье Планирование ресурсов Defender для удостоверенийDefender for Identity.For information on how to plan resources and capacity, see Defender для удостоверенийDefender for Identity capacity planning.

Defender для удостоверенийDefender for Identity состоит из облачной службы Defender для удостоверенийDefender for Identity, которая, в свою очередь, состоит из портала Defender для удостоверенийDefender for Identity и датчика Defender для удостоверенийDefender for Identity.Defender для удостоверенийDefender for Identity is composed of the Defender для удостоверенийDefender for Identity cloud service, which consists of the Defender для удостоверенийDefender for Identity portal and the Defender для удостоверенийDefender for Identity sensor. Дополнительные сведения о каждом компоненте Defender для удостоверенийDefender for Identity см. в статье Архитектура Defender для удостоверенийDefender for Identity.For more information about each Defender для удостоверенийDefender for Identity component, see Defender для удостоверенийDefender for Identity architecture.

Defender для удостоверенийDefender for Identity защищает локальных и синхронизированных пользователей ваших служб Azure Active Directory.Defender для удостоверенийDefender for Identity protects your on-premises Active Directory users and/or users synced to your Azure Active Directory. См. подробнее о среде, состоящей только из пользователей AAD в руководстве по обеспечению защиты удостоверений AAD.To protect an environment made up of only AAD users, see AAD Identity Protection.

Чтобы создать экземпляр Defender для удостоверенийDefender for Identity, требуется клиент AAD, для которого определен как минимум один глобальный администратор или администратор безопасности.To create your Defender для удостоверенийDefender for Identity instance, you'll need an AAD tenant with at least one global/security administrator. Каждый экземпляр Defender для удостоверенийDefender for Identity поддерживает границу леса Active Directory и режим работы леса (FFL) для Windows 2003 и более поздних версий.Each Defender для удостоверенийDefender for Identity instance supports a multiple Active Directory forest boundary and Forest Functional Level (FFL) of Windows 2003 and above.

Требования в этом руководстве разделены на разделы, в которых описывается все необходимое для успешного развертывания Defender для удостоверенийDefender for Identity.This prerequisite guide is divided into the following sections to ensure you have everything you need to successfully deploy Defender для удостоверенийDefender for Identity.

Перед началом работы. В этом разделе перечислены сведения, которые необходимо собрать, а также учетные записи и сетевые объекты, которые нужно создать перед установкой.Before you start: Lists information to gather and accounts and network entities you'll need to have before starting to install.

Портал Defender для удостоверенийDefender for Identity. В этом разделе описываются требования к браузеру для работы с порталом Defender для удостоверенийDefender for Identity.Defender для удостоверенийDefender for Identity portal: Describes Defender для удостоверенийDefender for Identity portal browser requirements.

Датчик Defender для удостоверенийDefender for Identity. В этом разделе перечислены требования к программному и аппаратному обеспечению для датчиков Defender для удостоверенийDefender for Identity.Defender для удостоверенийDefender for Identity sensor: Lists Defender для удостоверенийDefender for Identity sensor hardware, and software requirements.

Автономный датчик Defender для удостоверенийDefender for Identity. Автономный датчик Defender для удостоверенийDefender for Identity устанавливается на выделенных серверах. Чтобы этот датчик получал сетевой трафик, нужно настроить зеркальное отображение портов на контроллере домена.Defender для удостоверенийDefender for Identity standalone sensor: The Defender для удостоверенийDefender for Identity Standalone Sensor is installed on a dedicated server and requires port mirroring to be configured on the domain controller to receive network traffic.

Примечание

Автономные датчики Defender для удостоверенийDefender for Identity не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений.Defender для удостоверенийDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверенийDefender for Identity.For full coverage of your environment, we recommend deploying the Defender для удостоверенийDefender for Identity sensor.

Прежде чем начатьBefore you start

В этом разделе перечислены сведения, которые вам необходимо собрать, а также сведения об учетных записях и сетевых объектах, которые должны быть у вас перед установкой Defender для удостоверенийDefender for Identity.This section lists information you should gather as well as accounts and network entity information you should have before starting Defender для удостоверенийDefender for Identity installation.

  • Получите лицензию на Enterprise Mobility + Security 5 (EMS E5) непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (партнер по облачным решениям, CSP).Acquire a license for Enterprise Mobility + Security 5 (EMS E5) directly via the Microsoft 365 portal or use the Cloud Solution Partner (CSP) licensing model. Доступны также отдельные лицензии на Defender для удостоверенийDefender for Identity.Standalone Defender для удостоверенийDefender for Identity licenses are also available.

  • Убедитесь, что контроллеры домена, на которых вы планируете устанавливать датчики Defender для удостоверенийDefender for Identity, подключены через Интернет к облачной службе Defender для удостоверенийDefender for Identity.Verify the domain controller(s) you intend to install Defender для удостоверенийDefender for Identity sensors on have internet connectivity to the Defender для удостоверенийDefender for Identity Cloud Service. Датчик Defender для удостоверенийDefender for Identity поддерживает работу с прокси-сервером.The Defender для удостоверенийDefender for Identity sensor supports the use of a proxy. Дополнительные сведения о конфигурации прокси-сервера см. в статье Конфигурация прокси-сервера для Defender для удостоверенийDefender for Identity.For more information on proxy configuration, see Configuring a proxy for Defender для удостоверенийDefender for Identity.

  • По крайней мере одна из следующих учетных записей служб каталогов с доступом на чтение ко всем объектам в отслеживаемых доменах:At least one of the following directory services accounts with read access to all objects in the monitored domains:

    • Стандартная учетная запись пользователя AD и пароль.A standard AD user account and password. Требуется для датчиков под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1).Required for sensors running Windows Server 2008 R2 SP1.

    • Групповая управляемая учетная запись службы (gMSA).A group Managed Service Account (gMSA). Требуется Windows Server 2012 или более поздней версии.Requires Windows Server 2012 or above.
      Все датчики должны иметь разрешения на получение пароля учетной записи gMSA.All sensors must have permissions to retrieve the gMSA account's password.
      См. сведения об учетных записях gMSA в руководстве по использованию групповых управляемых учетных записей.To learn about gMSA accounts, see Getting Started with Group Managed Service Accounts.

      В следующей таблице показаны учетные записи пользователей AD, которые могут использоваться с определенными версиями сервера:The following table shows which AD user accounts can be used with which server versions:

      Тип учетной записиAccount type Windows Server 2008 R2 с пакетом обновления 1 (SP1)Windows Server 2008 R2 SP1 Windows Server 2012 или более поздней версииWindows Server 2012 or above
      Стандартная учетная запись пользователя ADStandard AD user account ДаYes ДаYes
      Учетная запись gMSAgMSA account НетNo ДаYes

      Примечание

      • Для компьютеров с датчиками под управлением Windows Server 2012 и более поздних версий рекомендуется использовать учетную запись gMSA для повышения уровня безопасности и включения автоматического управления паролями.For sensor machines running Windows Server 2012 and above, we recommend using a gMSA account for its improved security and automatic password management.
      • Если у вас есть датчики под управлением Windows Server 2008 R2 и Windows Server 2012 или более поздней версии, рекомендуется использовать не только учетную запись gMSA, но и по крайней мере одну стандартную учетную запись пользователя AD.If you have multiple sensors, some running Windows Server 2008 R2 and others running Windows Server 2012 or above, in addition to the recommendation to use a gMSA account, you must also use at least one standard AD user account.
      • Если для различных подразделений в домене были установлены настраиваемые списки управления доступом, убедитесь, что у выбранного пользователя есть разрешение на чтение данных подразделений.If you have set custom ACLs on various Organizational Units (OU) in your domain, make sure that the selected user has read permissions to those OUs.
  • При выполнении Wireshark в автономном датчике Defender для удостоверенийDefender for Identity необходимо перезапустить службу датчика Defender для удостоверенийDefender for Identity после остановки записи Wireshark.If you run Wireshark on Defender для удостоверенийDefender for Identity standalone sensor, restart the Defender для удостоверенийDefender for Identity sensor service after you've stopped the Wireshark capture. Если не перезапустить службу датчика, датчик перестанет записывать трафик.If you don't restart the sensor service, the sensor stops capturing traffic.

  • При попытке установить датчик Defender для удостоверенийDefender for Identity на компьютере, настроенном с функцией объединения сетевых карт, возникнет ошибка установки.If you attempt to install the Defender для удостоверенийDefender for Identity sensor on a machine configured with a NIC Teaming adapter, you'll receive an installation error. Чтобы установить датчик Defender для удостоверенийDefender for Identity на компьютере с функцией объединения сетевых карт, ознакомьтесь с разделом Проблема Defender для удостоверенийDefender for Identity при работе с функцией объединения сетевых карт.If you want to install the Defender для удостоверенийDefender for Identity sensor on a machine configured with NIC teaming, see Defender для удостоверенийDefender for Identity sensor NIC teaming issue.

  • Рекомендация по контейнеру Удаленные объекты: в контейнере удаленных объектов у пользователя должно быть разрешение только на чтение.Deleted Objects container Recommendation: User should have read-only permissions on the Deleted Objects container. Разрешения только для чтения в этом контейнере позволяют Defender для удостоверенийDefender for Identity обнаруживать удаление пользователей из Active Directory.Read-only permissions on this container allow Defender для удостоверенийDefender for Identity to detect user deletions from your Active Directory. Дополнительные сведения о настройке разрешений только для чтения в контейнере удаленных объектов см. в разделе Changing permissions on a deleted object container (Изменение разрешений для контейнера удаленных объектов) статьи View or Set Permissions on a Directory Object (Просмотр или установка разрешений для объекта каталога).For information about configuring read-only permissions on the Deleted Objects container, see the Changing permissions on a deleted object container section of the View or Set Permissions on a Directory Object article.

  • Токен-приманка (необязательно): Учетная запись пользователя, не совершавшего операции в сети.Optional Honeytoken: A user account of a user who has no network activities. Эта учетная запись будет настроена как пользователь Honeytoken Defender для удостоверенийDefender for Identity.This account is configured as a Defender для удостоверенийDefender for Identity Honeytoken user. Дополнительные сведения об использовании токенов-приманок: Настройка учетных записей Honeytoken и исключений из обнаружения.For more information about using Honeytokens, see Configure exclusions and Honeytoken user.

  • Необязательно. При развертывании автономного датчика следует пересылать события Windows в Defender для удостоверенийDefender for Identity, чтобы позволить Defender для удостоверенийDefender for Identity расширить обнаружение угроз, связанных с проверкой подлинности, добавлением к конфиденциальным группам и подозрительным созданием служб.Optional: When deploying the standalone sensor, it's necessary to forward Windows events to Defender для удостоверенийDefender for Identity to further enhance Defender для удостоверенийDefender for Identity authentication-based detections, additions to sensitive groups, and suspicious service creation detections. Датчик Defender для удостоверенийDefender for Identity получает эти события автоматически.Defender для удостоверенийDefender for Identity sensor receives these events automatically. В автономном датчике Defender для удостоверенийDefender for Identity эти события можно получать из системы SIEM или настроив пересылку событий Windows с контроллера домена.In Defender для удостоверенийDefender for Identity standalone sensor, these events can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. Собранные события предоставляют Defender для удостоверенийDefender for Identity дополнительные данные, которые невозможно получить через сетевой трафик контроллера домена.Events collected provide Defender для удостоверенийDefender for Identity with additional information that isn't available via the domain controller network traffic.

Требования к порталу Defender для удостоверенийDefender for Identity portal requirements

Доступ к порталу Defender для удостоверенийDefender for Identity осуществляется через браузер. Поддерживаются следующие браузеры и параметры:Access to the Defender для удостоверенийDefender for Identity portal is via a browser, supporting the following browsers and settings:

  • Браузер с поддержкой TLS 1.2, например:A browser that supports TLS 1.2, such as:

    • Microsoft EdgeMicrosoft Edge
    • Internet Explorer 11 и более поздних версий;Internet Explorer version 11 and above
    • Google Chrome 30.0 и более поздних версий.Google Chrome 30.0 and above
  • минимальное разрешение экрана —1700 пикселей.Minimum screen width resolution of 1700 pixels

  • Открытый порт брандмауэра или прокси-сервера — чтобы контроллеры домена могли обмениваться данными с облачной службой Defender для удостоверенийDefender for Identity, откройте порт 443 для *.atp.azure.com в брандмауэре или на прокси-сервере.Firewall/proxy open - To communicate with the Defender для удостоверенийDefender for Identity cloud service, *.atp.azure.com port 443 must be open in your firewall/proxy.

    Примечание

    Также можно использовать тег службы Azure (AzureAdvancedThreatProtection) для включения доступа к Defender для удостоверенийDefender for Identity.You can also use our Azure service tag (AzureAdvancedThreatProtection) to enable access to Defender для удостоверенийDefender for Identity. Дополнительные сведения о тегах службы: статья Теги службы виртуальной сети или загружаемый файл тегов службы.For more information about service tags, see Virtual network service tags or download the service tags file.

Defender для удостоверенийDefender for Identity: схема архитектуры

Примечание

По умолчанию Defender для удостоверенийDefender for Identity поддерживает до 200 датчиков.By default, Defender для удостоверенийDefender for Identity supports up to 200 sensors. Чтобы установить дополнительные датчики, обратитесь в службу поддержки Defender для удостоверенийDefender for Identity.If you want to install more sensors, contact Defender для удостоверенийDefender for Identity support.

Требования к разрешению сетевых имен (NNR) в Defender для удостоверенийDefender for Identity Network Name Resolution (NNR) requirements

Разрешение сетевых имен (NNR) — главный компонент Defender для удостоверенийDefender for Identity.Network Name Resolution (NNR) is a main component of Defender для удостоверенийDefender for Identity functionality. Чтобы разрешить IP-адреса для имен компьютеров, датчики Defender для удостоверенийDefender for Identity запрашивают IP-адрес, используя один из следующих методов:To resolve IP addresses to computer names, Defender для удостоверенийDefender for Identity sensors look up the IP addresses using the following methods:

  • NTLM через RPC (TCP-порт 135)NTLM over RPC (TCP Port 135)
  • NetBIOS (UDP-порт 137)NetBIOS (UDP port 137)
  • RDP (TCP-порт 3389), только первый пакет приветствия клиента.RDP (TCP port 3389) - only the first packet of Client hello
  • Запросы к DNS-серверу с помощью обратного поиска IP-адреса в DNS (UDP 53).Queries the DNS server using reverse DNS lookup of the IP address (UDP 53)

Для работы первых трех методов необходимо открыть соответствующие порты для входящего трафика с датчиков Defender для удостоверенийDefender for Identity на устройства в сети.For the first three methods to work, the relevant ports must be opened inbound from the Defender для удостоверенийDefender for Identity sensors to devices on the network. Дополнительные сведения о Defender для удостоверенийDefender for Identity и NNR см. в разделе Политика NNR в Defender для удостоверенийDefender for Identity.To learn more about Defender для удостоверенийDefender for Identity and NNR, see Defender для удостоверенийDefender for Identity NNR policy.

Для получения наилучших результатов рекомендуется использовать все методы.For the best results, we recommend using all of the methods. Если это невозможно, следует использовать поиск в DNS и по крайней мере один из других методов.If this isn't possible, you should use the DNS lookup method and at least one of the other methods.

Требования к датчику Defender для удостоверенийDefender for Identity sensor requirements

В этом разделе перечислены требования для датчика Defender для удостоверенийDefender for Identity.This section lists the requirements for the Defender для удостоверенийDefender for Identity sensor.

Общие сведенияGeneral

Датчик Defender для удостоверенийDefender for Identity поддерживает установку на контроллерах домена или серверах службы федерации Active Directory (AD FS), как показано в следующей таблице.The Defender для удостоверенийDefender for Identity sensor supports installation on domain controllers or Active Directory Federation Services (AD FS) servers, as shown in the following table.

Версия операционной системыOperating system version Сервер с возможностями рабочего столаServer with Desktop Experience Основные серверные компонентыServer Core Nano ServerNano Server Поддерживаемые установкиSupported installations
Windows Server 2008 R2 с пакетом обновления 1 (SP1)Windows Server 2008 R2 SP1 НеприменимоNot applicable Контроллер доменаDomain controller
Windows Server 2012Windows Server 2012 НеприменимоNot applicable Контроллер доменаDomain controller
Windows Server 2012 R2Windows Server 2012 R2 НеприменимоNot applicable Контроллер доменаDomain controller
Windows Server 2016Windows Server 2016 Контроллер домена, AD FSDomain controller, AD FS
Windows Server 2019*Windows Server 2019* Контроллер домена, AD FSDomain controller, AD FS

* Требуется KB4487044 или накопительный пакет обновления более поздней версии.* Requires KB4487044 or newer cumulative update. Датчики, установленные в Server 2019 без этого обновления будут автоматически остановлены, если версия файла ntdsai.dll в системном каталоге старше версии 10.0.17763.316.Sensors installed on Server 2019 without this update will be automatically stopped if the file version of the ntdsai.dll file in the system directory is older than 10.0.17763.316.

Контроллер домена можно использовать в качестве контроллера домена только для чтения.The domain controller can be a read-only domain controller (RODC).

Чтобы датчики, работающие на контроллерах домена и в AD FS, могли связываться с облачной службой, откройте порт 443 для *.atp.azure.com на своих брандмауэрах и прокси-серверах.For sensors running on domain controllers and AD FS to communicate with the cloud service, you must open port 443 in your firewalls and proxies to *.atp.azure.com. При установке на ферме AD FS рекомендуем установить датчик на каждом сервере AD FS или хотя бы на первичном узле.If you're installing on an AD FS farm, we recommend installing the sensor on each AD FS server, or at least on the primary node.

Во время установки будет установлена платформа .NET Framework 4.7, если эта платформа или ее более поздняя версия отсутствует. При этом может потребоваться перезагрузка сервера.During installation, if .NET Framework 4.7 or later isn't installed, the .NET Framework 4.7 is installed and might require a reboot of the server. Перезагрузка может также потребоваться в том случае, если ожидается перезапуск.A reboot might also be required if there is a restart already pending.

Примечание

Требуется не менее 5 ГБ дискового пространства; рекомендуется 10 ГБ.A minimum of 5 GB of disk space is required and 10 GB is recommended. Сюда входит пространство, необходимое для двоичных файлов Defender для удостоверенийDefender for Identity, журналов Defender для удостоверенийDefender for Identity и журналов производительности.This includes space needed for the Defender для удостоверенийDefender for Identity binaries, Defender для удостоверенийDefender for Identity logs, and performance logs.

Спецификации сервераServer specifications

Для датчика Defender для удостоверенийDefender for Identity на контроллере домена требуется минимум 2 ядра и 6 ГБ ОЗУ.The Defender для удостоверенийDefender for Identity sensor requires a minimum of 2 cores and 6 GB of RAM installed on the domain controller. Для обеспечения оптимальной производительности задайте в параметре электропитания компьютера, на котором работает датчик Defender для удостоверенийDefender for Identity, значение Высокая производительность.For optimal performance, set the Power Option of the machine running the Defender для удостоверенийDefender for Identity sensor to High Performance.

Датчики Defender для удостоверенийDefender for Identity можно развернуть на контроллерах домена или серверах AD FS с различной нагрузкой и различных размеров в зависимости от объема входящего и исходящего сетевого трафика, а также установленных ресурсов.Defender для удостоверенийDefender for Identity sensors can be deployed on domain controller or AD FS servers of various loads and sizes, depending on the amount of network traffic to and from the servers, and the amount of resources installed.

В операционных системах Windows 2008 R2 и 2012 датчик Defender для удостоверенийDefender for Identity не поддерживается в многопроцессорном групповом режиме.For Windows Operating systems 2008R2 and 2012, the Defender для удостоверенийDefender for Identity sensor isn't supported in a Multi Processor Group mode. Дополнительные сведения о многопроцессорном групповом режиме см. в статье об устранении неполадок.For more information about multi-processor group mode, see troubleshooting.

Примечание

При запуске в качестве виртуальной машины всю память нужно выделить для виртуальной машины на постоянной основе.When running as a virtual machine, all memory is required to be allocated to the virtual machine at all times.

Дополнительные сведения о требованиях к оборудованию для датчика Defender для удостоверенийDefender for Identity см. в статье Планирование ресурсов Defender для удостоверенийDefender for Identity.For more information about the Defender для удостоверенийDefender for Identity sensor hardware requirements, see Defender для удостоверенийDefender for Identity capacity planning.

Синхронизация времениTime synchronization

Время серверов и контроллеров домена, на которых установлен датчик, должно быть синхронизировано в пределах пяти минут.The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

Сетевые адаптерыNetwork adapters

Датчик Defender для удостоверенийDefender for Identity отслеживает локальный трафик всех сетевых адаптеров контроллера домена.The Defender для удостоверенийDefender for Identity sensor monitors the local traffic on all of the domain controller's network adapters.
После развертывания используйте портал Defender для удостоверенийDefender for Identity, чтобы изменить параметры отслеживания сетевых адаптеров.After deployment, use the Defender для удостоверенийDefender for Identity portal to modify which network adapters are monitored.

Датчик не поддерживается в контроллерах домена под управлением Windows 2008 R2 с включенным группированием сетевых адаптеров Broadcom.The sensor isn't supported on domain controllers running Windows 2008 R2 with Broadcom Network Adapter Teaming enabled.

ПортыPorts

В следующей таблице перечислены порты, необходимые для работы датчика Defender для удостоверенийDefender for Identity.The following table lists the minimum ports that the Defender для удостоверенийDefender for Identity sensor requires:

ПротоколProtocol ТранспортTransport PortPort ОтFrom КомуTo
Интернет-портыInternet ports
SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity sensor Облачная служба Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity cloud service
Внутренние портыInternal ports
DNSDNS TCP и UDPTCP and UDP 5353 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity sensor DNS-серверыDNS Servers
Netlogon (SMB, CIFS, SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP/UDPTCP/UDP 445445 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity sensor Все устройства в сетиAll devices on network
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity sensor
Порты localhost*Localhost ports* Требуется для средства обновления службы датчикаRequired for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 Служба датчиковSensor Service Служба средства обновления датчикаSensor Updater Service
Порты NNR**NNR ports**
HTML через RPCNTLM over RPC TCPTCP Порт 135Port 135 Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network
RDPRDP TCPTCP 3389 (только первый пакет приветствия клиента)3389, only the first packet of Client hello Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network

* По умолчанию трафик между портами localhost разрешен, только если пользовательская политика брандмауэра не блокирует его.* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** Один из этих портов является обязательным, но рекомендуется открыть их все.** One of these ports is required, but we recommend opening all of them.

Журналы событий WindowsWindows Event logs

Обнаружение Defender для удостоверенийDefender for Identity основано на определенных журналах событий Windows, анализируемых датчиком и получаемых с контроллеров домена.Defender для удостоверенийDefender for Identity detection relies on specific Windows Event logs that the sensor parses from your domain controllers. Чтобы проводить аудит и включать в журнал событий Windows нужные события, контроллерам домена требуются точные параметры расширенной политики аудита.For the correct events to be audited and included in the Windows Event log, your domain controllers require accurate Advanced Audit Policy settings. Дополнительные сведения о настройке правильных политик см. в статье о проверке расширенной политики аудита.For more information about setting the correct policies, see, Advanced audit policy check. Чтобы обеспечить аудит события Windows 8004 в соответствии с требованиями службы, проверьте параметры аудита NTLM.To make sure Windows Event 8004 is audited as needed by the service, review your NTLM audit settings.

Для датчиков, работающих на серверах AD FS, задайте уровень аудита Подробный.For sensors running on AD FS servers, configure the auditing level to Verbose. Дополнительные сведения о настройке уровня аудита см. в этом разделе.For information on how to configure the auditing level, see Event auditing information for AD FS.

Примечание

С помощью учетной записи пользователя службы каталогов датчик запрашивает конечные точки в организации для обнаружения локальных администраторов, использующих SAM-R (вход в сеть), чтобы построить график путей бокового смещения.Using the Directory service user account, the sensor queries endpoints in your organization for local admins using SAM-R (network logon) in order to build the lateral movement path graph. Дополнительные сведения см. в разделе Настройка необходимых разрешений для SAM-R.For more information, see Configure SAM-R required permissions.

Требования к автономному датчику Defender для удостоверенийDefender for Identity standalone sensor requirements

В этом разделе перечислены требования к автономному датчику Defender для удостоверенийDefender for Identity.This section lists the requirements for the Defender для удостоверенийDefender for Identity standalone sensor.

Примечание

Автономные датчики Defender для удостоверенийDefender for Identity не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений.Defender для удостоверенийDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверенийDefender for Identity.For full coverage of your environment, we recommend deploying the Defender для удостоверенийDefender for Identity sensor.

Общие сведенияGeneral

Автономный датчик Defender для удостоверенийDefender for Identity поддерживает установку на сервере под управлением Windows Server 2012 R2 или Windows Server 2016 (включая Server Core).The Defender для удостоверенийDefender for Identity standalone sensor supports installation on a server running Windows Server 2012 R2 or Windows Server 2016 (Include server core). Автономный датчик Defender для удостоверенийDefender for Identity можно установить на сервер, который входит в домен или рабочую группу.The Defender для удостоверенийDefender for Identity standalone sensor can be installed on a server that is a member of a domain or workgroup. Автономный датчик Defender для удостоверенийDefender for Identity можно использовать для отслеживания контроллеров домена с режимом работы домена Windows 2003 и более поздних версий.The Defender для удостоверенийDefender for Identity standalone sensor can be used to monitor Domain Controllers with Domain Functional Level of Windows 2003 and above.

Чтобы автономные датчики могли обмениваться данными с облачной службой, откройте порт 443 *.atp.azure.com в брандмауэре или на прокси-сервере.For your standalone sensor to communicate with the cloud service, port 443 in your firewalls and proxies to *.atp.azure.com must be open.

Сведения об использовании виртуальных машин с автономным датчиком Defender для удостоверенийDefender for Identity см. в статье Настройка зеркального отображения портов.For information on using virtual machines with the Defender для удостоверенийDefender for Identity standalone sensor, see Configure port mirroring.

Примечание

Требуется не менее 5 ГБ дискового пространства; рекомендуется 10 ГБ.A minimum of 5 GB of disk space is required and 10 GB is recommended. Сюда входит пространство, необходимое для двоичных файлов Defender для удостоверенийDefender for Identity, журналов Defender для удостоверенийDefender for Identity и журналов производительности.This includes space needed for the Defender для удостоверенийDefender for Identity binaries, Defender для удостоверенийDefender for Identity logs, and performance logs.

Спецификации сервераServer specifications

Для обеспечения оптимальной производительности задайте в параметре электропитания компьютера, на котором работает автономный датчик Defender для удостоверенийDefender for Identity, значение Высокая производительность.For optimal performance, set the Power Option of the machine running the Defender для удостоверенийDefender for Identity standalone sensor to High Performance.

Автономные датчики Defender для удостоверенийDefender for Identity поддерживают отслеживание нескольких контроллеров домена в зависимости от объема сетевого трафика, передаваемого между контроллерами домена.Defender для удостоверенийDefender for Identity standalone sensors can support monitoring multiple domain controllers, depending on the amount of network traffic to and from the domain controllers.

Примечание

При запуске в качестве виртуальной машины всю память нужно выделить для виртуальной машины на постоянной основе.When running as a virtual machine, all memory is required to be allocated to the virtual machine at all times.

Дополнительные сведения о требованиях к оборудованию для автономного датчика Defender для удостоверенийDefender for Identity см. в статье Планирование ресурсов Defender для удостоверенийDefender for Identity.For more information about the Defender для удостоверенийDefender for Identity standalone sensor hardware requirements, see Defender для удостоверенийDefender for Identity capacity planning.

Синхронизация времениTime synchronization

Время серверов и контроллеров домена, на которых установлен датчик, должно быть синхронизировано в пределах пяти минут.The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

Сетевые адаптерыNetwork adapters

Для автономного датчика Defender для удостоверенийDefender for Identity требуется по крайней мере один адаптер управления и по крайней мере один адаптер записи.The Defender для удостоверенийDefender for Identity standalone sensor requires at least one Management adapter and at least one Capture adapter:

  • Адаптер управления — будет использоваться для связи в корпоративной сети.Management adapter - used for communications on your corporate network. Датчик будет использовать этот адаптер для отправки запроса к контроллеру домена для защиты и разрешения учетных записей компьютера.The sensor will use this adapter to query the DC it's protecting and performing resolution to machine accounts.

    При настройке этого адаптера следует настроить следующие параметры:This adapter should be configured with the following settings:

    • статический IP-адрес, включая шлюз по умолчанию;Static IP address including default gateway

    • предпочитаемый и альтернативный DNS-серверы.Preferred and alternate DNS servers

    • DNS-суффикс этого подключения должен быть DNS-именем домена для каждого отслеживаемого домена.The DNS suffix for this connection should be the DNS name of the domain for each domain being monitored.

      Настройка DNS-суффикса в дополнительных параметрах TCP/IP

      Примечание

      Если автономный датчик Defender для удостоверенийDefender for Identity является членом домена, эту настройку можно выполнять автоматически.If the Defender для удостоверенийDefender for Identity standalone sensor is a member of the domain, this may be configured automatically.

  • Адаптер записи — используется для записи входящего и исходящего трафика контроллеров домена.Capture adapter - used to capture traffic to and from the domain controllers.

    Важно!

    • Следует настроить зеркальное отображение портов адаптера записи в качестве целевого размещения сетевого трафика контроллера домена.Configure port mirroring for the capture adapter as the destination of the domain controller network traffic. Дополнительные сведения см. в статье Настройка зеркального отображения портов.For more information, see Configure port mirroring. Как правило, чтобы настроить зеркальное отображение портов, следует привлечь специалистов по обслуживанию сети или группу виртуализации.Typically, you need to work with the networking or virtualization team to configure port mirroring.
    • Для конкретной среды следует настроить статический немаршрутизируемый IP-адрес (с маской /32) без адресов DNS-сервера и шлюза датчика по умолчанию.Configure a static non-routable IP address (with /32 mask) for your environment with no default sensor gateway and no DNS server addresses. Например, 10.10.0.10/32.For example, 10.10.0.10/32. Это гарантирует, что сетевой адаптер записи может записать максимальное количество трафика, а также что сетевой адаптер управления используется для отправки и получения требуемого сетевого трафика.This ensures that the capture network adapter can capture the maximum amount of traffic and that the management network adapter is used to send and receive the required network traffic.

ПортыPorts

В следующей таблице перечислены порты, которые необходимо настроить на адаптере управления для работы автономного датчика Defender для удостоверенийDefender for Identity.The following table lists the minimum ports that the Defender для удостоверенийDefender for Identity standalone sensor requires configured on the management adapter:

ПротоколProtocol ТранспортTransport PortPort ОтFrom КомуTo
Интернет-портыInternet ports
SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Облачная служба Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity cloud service
Внутренние портыInternal ports
LDAPLDAP TCP и UDPTCP and UDP 389389 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
Защищенный LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
LDAP для глобального каталогаLDAP to Global Catalog TCPTCP 32683268 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
LDAPS для глобального каталогаLDAPS to Global Catalog TCPTCP 32693269 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
KerberosKerberos TCP и UDPTCP and UDP 8888 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
Netlogon (SMB, CIFS, SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP и UDPTCP and UDP 445445 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Все устройства в сетиAll devices on network
Служба времени WindowsWindows Time UDPUDP 123123 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor Контроллеры доменаDomain controllers
DNSDNS TCP и UDPTCP and UDP 5353 Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor DNS-серверыDNS Servers
Syslog (необязательно)Syslog (optional) TCP/UDPTCP/UDP 514, в зависимости от конфигурации514, depending on configuration Сервер SIEMSIEM Server Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity Sensor
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Датчик Defender для удостоверенийDefender for IdentityDefender для удостоверенийDefender for Identity sensor
Порты localhost*Localhost ports* Требуется для средства обновления службы датчикаRequired for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 Служба датчиковSensor Service Служба средства обновления датчикаSensor Updater Service
Порты NNR**NNR ports**
HTML через RPCNTLM over RPC TCPTCP 135135 Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network
RDPRDP TCPTCP 3389 (только первый пакет приветствия клиента)3389, only the first packet of Client hello Defender для удостоверенийDefender for Identity Все устройства в сетиAll devices on network

* По умолчанию трафик между портами localhost разрешен, только если пользовательская политика брандмауэра не блокирует его.* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** Один из этих портов является обязательным, но рекомендуется открыть их все.** One of these ports is required, but we recommend opening all of them.

Примечание

См. такжеSee Also