Pianificare la capacità per la distribuzione Microsoft Defender per identità
Questo articolo descrive come usare lo strumento di ridimensionamento Microsoft Defender per identità per determinare se i server del controller di dominio dispongono di risorse sufficienti per un sensore Microsoft Defender per identità.
Anche se le prestazioni del controller di dominio potrebbero non essere interessate se il server non dispone delle risorse necessarie, il sensore Defender per identità potrebbe non funzionare come previsto. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.
Lo strumento di dimensionamento misura la capacità necessaria solo per i controller di dominio. Non è necessario eseguirlo sui server AD FS/AD CS/Entra Connect, poiché l'impatto sulle prestazioni su questi server è estremamente minimo per non esistere.
Consiglio
Per impostazione predefinita, Defender per identità supporta fino a 350 sensori. Per installare altri sensori, contattare il supporto di Defender per identità.
Prerequisiti
- Scaricare lo strumento di ridimensionamento di Defender per identità.
- Vedere l'articolo Sull'architettura di Defender per identità .
- Vedere l'articolo Prerequisiti di Defender per identità .
Per garantire risultati accurati, eseguire lo strumento di dimensionamento solo prima di aver installato i sensori defender per identità nell'ambiente.
Usare lo strumento di ridimensionamento
Eseguire lo strumento di ridimensionamento di Defender per identità, TriSizingTool.exe, dal file ZIP scaricato.
Al termine dell'esecuzione dello strumento, aprire i risultati del file di Excel.
Nel file di Excel individuare e selezionare il foglio di riepilogo di Azure ATP e quindi selezionare la colonna Sensor Supported (Sensor Supported) per i risultati che indicano se il server è supportato.
Ad esempio:
Nota
L'altro foglio nel file viene usato per la pianificazione di Advanced Threat Analytics (ATA) e non è necessario per Defender per identità.
Lo strumento di ridimensionamento determina se il server è supportato in base al valore Busy Packets/Second , calcolato in base ai 15 minuti più trafficati in un periodo di 24 ore.
I risultati comuni includono:
| Risultato | Descrizione |
|---|---|
| Sì | Il sensore è supportato nel server. |
| Sì, ma sono necessarie risorse aggiuntive | Il sensore è supportato nel server finché si aggiungono risorse mancanti specificate. |
| Forse | Il valore corrente di Pacchetti occupati/sec può essere significativamente più alto a quel punto della media. Controllare i timestamp per comprendere i processi in esecuzione in quel momento e se è possibile limitare la larghezza di banda per tali processi in circostanze normali. |
| Forse, ma sono necessarie risorse aggiuntive | Il sensore può essere supportato nel server finché si aggiungono risorse mancanti specificate oppure i pacchetti occupato/sec possono essere superiori a 60.000. |
| No | Il sensore non è supportato nel server. Il valore corrente di Pacchetti occupati/sec può essere significativamente più alto a quel punto della media. Controllare i timestamp per comprendere i processi in esecuzione in quel momento e se è possibile limitare la larghezza di banda per tali processi in circostanze normali. |
| Dati del sistema operativo mancanti | Si è verificato un problema durante la lettura dei dati del sistema operativo. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
| Dati di traffico mancanti | Si è verificato un problema durante la lettura dei dati del traffico. Assicurarsi che la connessione al server sia in grado di eseguire query sui contatori delle prestazioni in remoto. |
| Dati RAM mancanti | Si è verificato un problema durante la lettura dei dati della RAM. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
| Dati di base mancanti | Si è verificato un problema durante la lettura dei dati di base. Assicurarsi che la connessione al server sia in grado di eseguire query su WMI in remoto. |
Ad esempio, l'immagine seguente mostra un set di risultati in cui maybe indica che il valore Di pacchetti occupati/sec è significativamente più alto in quel punto della media. Si noti che l'opzione Visualizza ora DC come UTC/locale è impostata su Ora controller di dominio locale. Questa impostazione consente di evidenziare il fatto che i valori sono stati acquisiti intorno alle 3:30.
Dimensioni stimate del sensore Defender per identità
La tabella seguente illustra la capacità stimata di CPU e RAM necessaria per un sensore Defender per identità, in base alla quantità tipica di traffico di rete generato da un controller di dominio.
Questa tabella è una stima. La quantità finale analizzata dal sensore dipende dalla quantità di traffico e dalla distribuzione del traffico.
| Pacchetti occupati/secondo | CPU (core fisici) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
In questa tabella:
La capacità di CPU e RAM si riferisce al consumo del sensore, non alla capacità del controller di dominio.
La capacità della CPU non include core iperthreading. È consigliabile non usare core iperthreading, il che può causare problemi di integrità nel sensore Defender per identità.
Quando si determina il dimensionamento, tenere presente il numero totale di core e la quantità totale di memoria che verrà usata dal servizio sensore.
Per altre informazioni, vedere Limitazioni delle risorse.
Stima del ridimensionamento manuale per i controller di dominio
Se non è possibile usare lo strumento di ridimensionamento, è possibile stimare manualmente se i server del controller di dominio dispongono di risorse sufficienti per un sensore Defender per identità.
Raccogliere manualmente le informazioni sul contatore del pacchetto/secondo da tutti i controller di dominio, per 24 ore con un intervallo di raccolta basso, ad esempio 5 secondi. Per ogni controller di dominio, calcolare la media giornaliera e la media del periodo più occupato (15 minuti).
Vari strumenti consentono di individuare il contatore medio del pacchetto/secondo per il controller di dominio. Questa procedura descrive un esempio di come usare Monitor prestazioni per raccogliere le informazioni pertinenti.
Aprire Monitor prestazioni ed espandere Set di agenti di raccolta dati.
Fare clic con il pulsante destro del mouse su Definito dall'utente e scegliere Nuovo > set di agenti di raccolta dati.
Immettere un nome significativo per il set di agenti di raccolta e selezionare Crea manualmente (avanzate).
In Tipo di dati da includere selezionare Crea log dati e Contatore delle prestazioni.
Espandere Scheda di rete , quindi selezionare Pacchetti/sec e l'area di lavoro pertinente. Se non si è certi dell'area di lavoro da selezionare, selezionare <Tutte le aree di lavoro>. Selezionare Aggiungi>OK per completare il passaggio.
In alternativa, se si esegue questo passaggio dalla riga di comando, eseguire
ipconfig /allper visualizzare il nome e la configurazione dell'adattatore.Impostare l'intervallo di campionamento su cinque secondi e definire la posizione in cui salvare i dati.
In Crea il set di agenti di raccolta dati selezionare Avvia il set di agenti di raccolta dati ora>Fine.
Verrà ora visualizzato il set di agenti di raccolta dati creato con un triangolo verde che indica che funziona.
Dopo 24 ore, arrestare il set di agenti di raccolta dati. Fare clic con il pulsante destro del mouse sul set di agenti di raccolta dati e scegliere Arresta.
In Esplora file passare alla cartella in cui è stato salvato il file blg. Fare doppio clic su di esso per aprirlo in Monitor prestazioni.
Selezionare il contatore Pacchetti/sec e registrare i valori medi e massimi.
Nota
Per impostazione predefinita, Defender per identità supporta fino a 350 sensori. Per installare altri sensori, contattare il supporto di Defender per identità.