Bağlantı noktası yansıtmayı yapılandırma
Bu makalede, Kimlik için Microsoft Defender için bağlantı noktası yansıtma seçenekleri açıklanır ve yalnızca tek başına algılayıcılar için geçerlidir. Kimlik için Defender çoğunlukla etki alanı denetleyicilerinize gelen ve etki alanından gelen ağ trafiği üzerinde derin paket incelemesi kullanır. Tek başına Kimlik için Defender algılayıcılarının ağ trafiğini görmesi için bağlantı noktası yansıtmayı yapılandırmanız veya Ağ TAP kullanmanız gerekir. Bağlantı noktası yansıtma, trafiği bir bağlantı noktasından (kaynak bağlantı noktası) başka bir bağlantı noktasına (hedef bağlantı noktası) kopyalar.
Bağlantı noktası yansıtmayı kullanırken, ağ trafiğinizin kaynağı olarak izlediğiniz her etki alanı denetleyicisi için bağlantı noktası yansıtmayı yapılandırın. Bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibinizle birlikte çalışmanızı öneririz.
Önemli
Tek başına Kimlik için Defender algılayıcıları, birden çok algılama için veri sağlayan Windows için Olay İzleme (ETW) günlük girdilerinin toplanmasını desteklemez. Ortamınızın tam kapsamı için Kimlik için Defender algılayıcısını dağıtmanızı öneririz.
Bağlantı noktası yansıtma yöntemi seçme
Etki alanı denetleyicileriniz ve Tek başına Kimlik için Defender algılayıcınız fiziksel veya sanal olabilir. Bağlantı noktası yansıtma için yaygın yöntemler ve dikkat edilmesi gereken bazı noktalar aşağıdadır. Daha fazla bilgi için anahtar veya sanallaştırma sunucusu ürün belgelerinize bakın. Anahtar üreticiniz farklı terminoloji kullanabilir.
| Metot | Açıklama |
|---|---|
| Anahtarlanmış Bağlantı Noktası Çözümleyicisi (SPAN) | Ağ trafiğini bir veya daha fazla anahtar bağlantı noktasından aynı anahtardaki başka bir anahtar bağlantı noktasına kopyalar. Hem Kimlik için Defender tek başına algılayıcısı hem de etki alanı denetleyicileri aynı fiziksel anahtara bağlanmalıdır. |
| Uzak Anahtar Bağlantı Noktası Çözümleyicisi (RSPAN) | Birden çok fiziksel anahtara dağıtılmış kaynak bağlantı noktalarından gelen ağ trafiğini izlemenizi sağlar. RSPAN, kaynak trafiği rspan tarafından yapılandırılmış özel bir VLAN'a kopyalar. Bu VLAN'ın ilgili diğer anahtarlara bağlanması gerekir. RSPAN, Katman 2'de çalışır. |
| Kapsüllenmiş Uzak Anahtar Bağlantı Noktası Çözümleyicisi (ERSPAN) | Katman 3'te çalışan cisco özel teknolojisi. ERSPAN, VLAN gövdelerine gerek kalmadan anahtarlar arasındaki trafiği izlemenize olanak tanır ve izlenen ağ trafiğini kopyalamak için genel yönlendirme kapsüllemesini (GRE) kullanır. Kimlik için Defender şu anda ERSPAN trafiğini doğrudan alamıyor. Yer -ine: 1. Trafiğin kapsülden çıkarıldığı ERSPAN hedefini, trafiğin kapsüllerini kaldırabilecek bir anahtar veya yönlendirici olarak yapılandırın. 1. Span veya RSPAN kullanarak anahtar veya yönlendiriciyi, kapsülden çıkarılmış trafiği Tek Başına Kimlik için Defender algılayıcısına iletecek şekilde yapılandırın. |
Dekont
Bağlantı noktası yansıtılan etki alanı denetleyicisi bir WAN bağlantısı üzerinden bağlıysa WAN bağlantısının ERSPAN trafiğinin ek yükünü işleyebileceğinden emin olun.
Kimlik için Defender yalnızca trafik NIC'ye ve etki alanı denetleyicisine aynı şekilde ulaştığında trafik izlemeyi destekler. Kimlik için Defender, trafik farklı bağlantı noktalarına ayrıldığında trafik izlemeyi desteklemez.
Desteklenen bağlantı noktası yansıtma seçenekleri
Aşağıdaki tabloda Kimlik için Defender'ın bağlantı noktası yansıtma yapılandırmaları için desteği açıklanmaktadır:
| Kimlik için Defender tek başına algılayıcısı | Etki alanı denetleyicisi | Dikkat edilmesi gereken noktalar |
|---|---|---|
| Sanal | Aynı konakta sanal | Sanal anahtarın bağlantı noktası yansıtmayı desteklemesi gerekir. Sanal makinelerden birinin tek başına başka bir konağa taşınması bağlantı noktası yansıtmasını bozabilir. |
| Sanal | Farklı konaklarda sanal | Sanal anahtarınızın bu senaryoya destek olduğundan emin olun. |
| Sanal | Fiziksel | Ayrılmış bir ağ bağdaştırıcısı gerektirir, aksi takdirde Kimlik için Defender, kimlik için Defender bulut hizmetine gönderdiği trafik bile konaktan gelen ve giden tüm trafiği görür. |
| Fiziksel | Sanal | Sanal anahtarınızın bu senaryoyu desteklediğinden ve senaryoya göre fiziksel anahtarlarınızda bağlantı noktası yansıtma yapılandırmasını desteklediğinden emin olun: Sanal konak aynı fiziksel anahtardaysa, bir anahtar düzeyi aralığı yapılandırmanız gerekir. Sanal konak farklı bir anahtardaysa RSPAN veya ERSPAN* yapılandırmanız gerekir. |
| Fiziksel | Aynı anahtarda fiziksel | Fiziksel anahtar SPAN/Bağlantı Noktası Yansıtmayı desteklemelidir. |
| Fiziksel | Farklı bir anahtarda fiziksel | RSPAN veya ERSPAN'ı desteklemek için fiziksel anahtarlar gerektirir ERSPAN yalnızca trafiğin Kimlik için Defender tarafından çözümlenmesinden önce kapsülleme gerçekleştirildiğinde desteklenir. |
Dekont
Etki alanı denetleyicilerinizde ve bağlı Kimlik için Defender algılayıcınızdaki süre, birbirini izleyen 5 dakika içinde ile eşitlenmelidir.
İlgili içerik
Daha fazla bilgi için bkz.