Planifier la capacité pour le déploiement Microsoft Defender pour Identity
Cet article explique comment utiliser l’outil de dimensionnement Microsoft Defender pour Identity pour déterminer si vos serveurs de contrôleur de domaine disposent de suffisamment de ressources pour un capteur Microsoft Defender pour Identity.
Bien que les performances du contrôleur de domaine ne soient pas affectées si le serveur ne dispose pas des ressources requises, le capteur Defender pour Identity peut ne pas fonctionner comme prévu. Pour plus d’informations, consultez Microsoft Defender pour Identity prérequis.
L’outil de dimensionnement mesure la capacité nécessaire pour les contrôleurs de domaine uniquement. Il n’est pas nécessaire de l’exécuter sur des serveurs AD FS/ AD CS / Entra Connect, car l’impact sur les performances sur ces serveurs est extrêmement minime pour ne pas exister.
Conseil
Par défaut, Defender pour Identity prend en charge jusqu’à 350 capteurs. Pour installer d’autres capteurs, contactez le support Defender pour Identity.
Configuration requise
- Téléchargez l’outil de dimensionnement Defender pour Identity.
- Consultez l’article Architecture de Defender pour Identity .
- Consultez l’article Conditions préalables de Defender pour Identity .
Pour garantir des résultats précis, exécutez uniquement l’outil de dimensionnement avant d’avoir installé des capteurs Defender pour Identity dans votre environnement.
Utiliser l’outil de dimensionnement
Exécutez l’outil de dimensionnement Defender pour Identity, TriSizingTool.exe, à partir du fichier zip que vous avez téléchargé.
Une fois l’exécution de l’outil terminée, ouvrez les résultats du fichier Excel.
Dans le fichier Excel, recherchez et sélectionnez la feuille Résumé Azure ATP, puis case activée la colonne Capteur pris en charge pour obtenir les résultats qui indiquent si votre serveur est pris en charge.
Par exemple :
Remarque
L’autre feuille du fichier est utilisée pour la planification ATA (Advanced Threat Analytics) et n’est pas nécessaire pour Defender pour Identity.
L’outil de dimensionnement détermine si votre serveur est pris en charge en fonction de la valeur Paquets occupés/Seconde , qui est calculée en fonction des 15 minutes les plus occupées sur une période de 24 heures.
Les résultats courants sont les suivants :
| Résultat | Description |
|---|---|
| Oui | Le capteur est pris en charge sur votre serveur. |
| Oui, mais des ressources supplémentaires sont requises | Le capteur est pris en charge sur votre serveur tant que vous ajoutez des ressources manquantes spécifiées. |
| Peut-être | La valeur actuelle des paquets occupés/s peut être beaucoup plus élevée à ce stade que la moyenne. Vérifiez les horodatages pour comprendre les processus en cours d’exécution à ce moment-là et si vous pouvez limiter la bande passante pour ces processus dans des circonstances normales. |
| Peut-être, mais des ressources supplémentaires sont nécessaires | Le capteur peut être pris en charge sur votre serveur tant que vous ajoutez des ressources manquantes spécifiées, ou les paquets occupés/s peuvent être supérieurs à 60 000. |
| Non | Le capteur n’est pas pris en charge sur votre serveur. La valeur actuelle des paquets occupés/s peut être beaucoup plus élevée à ce stade que la moyenne. Vérifiez les horodatages pour comprendre les processus en cours d’exécution à ce moment-là et si vous pouvez limiter la bande passante pour ces processus dans des circonstances normales. |
| Données de système d’exploitation manquantes | Un problème s’est produit lors de la lecture des données du système d’exploitation. Assurez-vous que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
| Données de trafic manquantes | Un problème s’est produit lors de la lecture des données de trafic. Assurez-vous que la connexion à votre serveur est en mesure d’interroger les compteurs de performances à distance. |
| Données ram manquantes | Un problème s’est produit lors de la lecture des données ram. Assurez-vous que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
| Données principales manquantes | Un problème s’est produit lors de la lecture des données de base. Assurez-vous que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
Par exemple, l’image suivante montre un ensemble de résultats où peut-être indique que la valeur Des paquets occupés/s est considérablement supérieure à la moyenne à ce stade. Notez que l’option Display DC Times as UTC/Local est définie sur Local DC Time (Heure DC locale). Ce paramètre permet de mettre en évidence le fait que les valeurs ont été prises vers 3h30.
Dimensionnement estimé du capteur Defender pour Identity
Le tableau suivant montre l’estimation de la capacité de processeur et de RAM nécessaire pour un capteur Defender pour Identity, en fonction de la quantité typique de trafic réseau générée par un contrôleur de domaine.
Cette table est une estimation. La quantité finale que le capteur analyse dépend de la quantité de trafic et de la distribution du trafic.
| Paquets occupés / seconde | PROCESSEUR (cœurs physiques) | RAM (Go) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
Dans ce tableau :
La capacité du processeur et de la RAM fait référence à la propre consommation du capteur, et non à la capacité du contrôleur de domaine.
La capacité du processeur n’inclut pas les cœurs hyperthreads. Nous vous recommandons de ne pas utiliser de cœurs hyperthreads, ce qui peut entraîner des problèmes d’intégrité dans le capteur Defender pour Identity.
Lorsque vous déterminez le dimensionnement, gardez à l’esprit le nombre total de cœurs et la quantité totale de mémoire qui sera utilisée par le service de capteur.
Pour plus d’informations, consultez Limitations des ressources.
Estimation manuelle du dimensionnement pour les contrôleurs de domaine
Si vous ne parvenez pas à utiliser l’outil de dimensionnement, vous pouvez estimer manuellement si vos serveurs de contrôleur de domaine disposent de suffisamment de ressources pour un capteur Defender pour Identity.
Collectez manuellement les informations de compteur paquet/seconde à partir de tous vos contrôleurs de domaine, sur 24 heures avec un intervalle de collecte faible comme 5 secondes. Pour chaque contrôleur de domaine, calculez la moyenne quotidienne et la période la plus occupée (15 minutes).
Différents outils peuvent vous aider à découvrir le compteur de paquets/secondes moyen pour votre contrôleur de domaine. Cette procédure décrit un exemple d’utilisation de Analyseur de performances pour collecter les informations pertinentes.
Ouvrez Analyseur de performances et développez Ensembles de collecteurs de données.
Cliquez avec le bouton droit sur Défini par l’utilisateur , puis sélectionnez Nouvel > ensemble de collecteurs de données.
Entrez un nom explicite pour l’ensemble de collecteurs, puis sélectionnez Créer manuellement (avancé) .
Sous Quel type de données voulez-vous inclure ?, sélectionnez Créer des journaux de données et Compteur de performances.
Développez Carte réseau , puis sélectionnez Paquets/s et l’espace de travail approprié. Si vous ne savez pas quel espace de travail sélectionner, sélectionnez <Tous les espaces de travail>. Sélectionnez Ajouter>OK pour terminer l’étape.
Si vous effectuez cette étape à partir de la ligne de commande, exécutez
ipconfig /allpour voir le nom et la configuration de l’adaptateur.Définissez l’intervalle d’échantillonnage sur cinq secondes et définissez l’emplacement où vous souhaitez enregistrer les données.
Sous Créer le jeu de collecteurs de données, sélectionnez Démarrer ce jeu de collecteurs de données maintenant>Terminer.
Vous devez maintenant voir le jeu de collecteurs de données que vous avez créé avec un triangle vert indiquant qu’il fonctionne.
Après 24 heures, arrêtez le jeu de collecteurs de données. Cliquez avec le bouton droit sur le jeu de collecteurs de données, puis sélectionnez Arrêter.
Dans Explorateur de fichiers, accédez au dossier dans lequel le fichier .blg a été enregistré. Double-cliquez dessus pour l’ouvrir dans Analyseur de performances.
Sélectionnez le compteur Paquets/s , puis enregistrez les valeurs moyennes et maximales.
Remarque
Par défaut, Defender pour Identity prend en charge jusqu’à 350 capteurs. Si vous souhaitez installer d’autres capteurs, contactez le support Defender pour Identity.