Bağlantı noktası yansıtmayı yapılandırma

Bu makale yalnızca Kimlik için Defender algılayıcıları Kimlik için Microsoft Defender tek başına algılayıcılar dağıtıyorsanız ilgili olur.

Not

Kimlik için Defender tek başına algılayıcılar, birden çok algılama için veri sağlayan Windows (ETW) günlük girişleri için Olay İzleme koleksiyonunu desteklemez. Ortamınızı tam olarak kapsamak için Kimlik için Defender algılayıcısı dağıtmanızı öneririz.

Kimlik için Defender tarafından kullanılan ana veri kaynağı, etki alanı denetleyicilerinize gelen ve giden ağ trafiğinin derin paket incelemesidir. Kimlik için Defender'ın ağ trafiğini görmek için, bağlantı noktası yansıtmayı yapılandırmanız veya Ağ TAP'ı kullanmanız gerekir.

Bağlantı noktası yansıtma için, izlenecek her etki alanı denetleyicisinde bağlantı noktası yansıtmayı ağ trafiğinin kaynağı olarak yapılandırın. Genellikle, bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle birlikte çalışmanız gerekir. Daha fazla bilgi için satıcınıza ait belgelere bakın.

Etki alanı denetleyicileriniz ve Kimlik için Defender tek başına algılayıcınız fiziksel veya sanal olabilir. Aşağıda, bağlantı noktası yansıtma için sık kullanılan yöntemler ve dikkat edilmesi gereken bazı noktalar verilmiştir. Daha fazla bilgi için anahtar veya sanallaştırma sunucusu ürün belgelerinize bakın. Anahtar üreticiniz farklı bir terminoloji kullanıyor olabilir.

Anahtarlamalı Bağlantı Noktası Çözümleyicisi (SPAN) – Bir veya birden çok anahtar bağlantı noktasındaki ağ trafiğini, aynı anahtar üzerindeki başka bir anahtar bağlantı noktasına kopyalar. Kimlik için Defender tek başına algılayıcısı ve etki alanı denetleyicilerinin aynı fiziksel anahtara bağlı olması gerekir.

Uzaktan Anahtar Bağlantı Noktası Çözümleyicisi (RSPAN) – Birden çok fiziksel anahtar üzerinden dağıtılan kaynak bağlantı noktalarından gelen ağ trafiğini izlemenizi sağlar. RSPAN, kaynak trafiği özel RSPAN yapılandırmalı VLAN’a kopyalar. Bu VLAN, işleme katılan diğer anahtarlara santral oluşturması gerekir. RSPAN, Katman 2’de çalışır.

Kapsüllenen Uzak Anahtar Bağlantı Noktası Çözümleyicisi (ERSPAN) – Katman 3’te çalışan Cisco’ya özel bir teknolojidir. ERSPAN, VLAN santrallerine gerek kalmadan anahtarlar arasındaki trafiği izlemenize olanak tanır. ERSPAN izlenen ağ trafiğini kopyalamak için genel yönlendirme kapsüllemesini (GRE) kullanır. Kimlik için Defender şu anda ERSPAN trafiğini doğrudan alamamektedir. Kimlik için Defender'ın ERSPAN trafiğiyle çalışması için, trafiği kapsülden alan bir anahtarın veya yönlendiricinin trafiğin kapsülden alınarak ERSPAN'ın hedefi olarak yapılandırılması gerekir. Ardından span veya RSPAN kullanarak kapsülden atılan trafiği Kimlik için Defender tek başına algılayıcıya iletacak şekilde anahtarı veya yönlendiriciyi yapılandırın.

Not

Bağlantı noktası yansıtılan etki alanı denetleyicisi bir WAN bağlantısı üzerinden bağlanıyorsa, WAN bağlantısının ERSPAN trafiğinden gelen ek yükü işleyebileceğinden emin olun. Kimlik için Defender yalnızca trafik NIC'ye ve etki alanı denetleyicisine aynı şekilde ulaştığında trafiğin izlenmesini destekler. Kimlik için Defender, trafik farklı bağlantı noktalarına ayrılsa trafiğin izlenmesini desteklemez.

Desteklenen bağlantı noktası yansıtma seçenekleri

Kimlik için Defender tek başına algılayıcısı Etki Alanı Denetleyicisi Dikkat edilmesi gerekenler
Sanal Aynı ana bilgisayarda sanal Sanal anahtarın bağlantı noktası yansıtmayı desteklemesi gerekir.

Sanal makinelerden birinin kendi başına başka bir ana bilgisayara taşınması, bağlantı noktası yansıtmanın kesilmesine neden olabilir.
Sanal Farklı ana bilgisayarlarda sanal Sanal anahtarınızın bu senaryoyu desteklediğinden emin olun.
Sanal Fiziksel Ayrılmış bir ağ bağdaştırıcısı gerektirir; aksi takdirde Kimlik için Defender, kimlik için Defender bulut hizmetine gönderdiği trafiğin bile ana bilgisayar içinde ve dışında gelen tüm trafiği görür.
Fiziksel Sanal Sanal anahtarınızın bu senaryoyu desteklediğinden ve fiziksel anahtarlarınızdaki bağlantı noktası yansıtmanın senaryoyu temel aldığından emin olun:

Sanal konak aynı fiziksel anahtarda ise, bir anahtar düzeyi aralığı yapılandırmalı.

Sanal konak farklı bir anahtarda ise RSPAN veya ERSPAN* yapılandırmalı.
Fiziksel Aynı anahtarda fiziksel Fiziksel anahtar SPAN/Bağlantı Noktası Yansıtma’yı desteklemelidir.
Fiziksel Farklı anahtarda fiziksel RSPAN veya ERSPAN*'i desteklemek için fiziksel anahtarlar gerektirir.

* ERSPAN yalnızca trafik Kimlik için Defender tarafından analiz öncesinde kapsülleme gerçekleştirilmeden önce decapsulation işlemi gerçekleştiriliyorken de desteklendi.

Not

Etki alanı denetleyicilerinin ve bağlanacakları Kimlik için Defender tek başına algılayıcının zamanlarının beş dakika içinde birbirine eşitlenmiş olduğundan emin olun.

Sanallaştırma kümeleriyle çalışıyorsanız:

  • Kimlik için Defender tek başına algılayıcısı olan bir sanal makinede sanallaştırma kümesinde çalışan her etki alanı denetleyicisi için, etki alanı denetleyicisi ile Kimlik için Defender tek başına algılayıcısı arasındaki benzeşmi yapılandırabilirsiniz. Bu şekilde, etki alanı denetleyicisi kümede başka bir ana bilgisayara taşınırken Kimlik için Defender tek başına algılayıcısı onu izler. Bu, az sayıda etki alanı denetleyicisi olduğunda iyi çalışır.

    Not

    Ortamınız farklı ana bilgisayarlarda Sanal-Sanal (RSPAN) iletişimi destekliyorsa benzeşim hakkında endişelenmeniz gerekmez.

  • Kimlik için Defender tek başına algılayıcının tüm bilgisayarları tek tek izlemek için düzgün boyutlandırıldıklardan emin olmak için şu seçeneği deneyin: Her sanallaştırma ana makinesine bir sanal makine yükleyin ve her ana bilgisayara tek başına Kimlik için Defender algılayıcısı yükleyin. Kimlik için Defender tek başına algılayıcılarını, kümede çalışan tüm etki alanı denetleyicilerini izlemek üzere yapılandırabilirsiniz. Bu şekilde, etki alanı denetleyicilerinin üzerinde çalıştır olduğu tüm konaklar izlenir.

Bağlantı noktası yansıtmayı yapılandırdikten sonra, Kimlik için Defender tek başına algılayıcısını yüklemeden önce bağlantı noktası yansıtmanın çalıştığını onaylar.

Ayrıca Bkz.