Planear a capacidade da implementação do Microsoft Defender para Identidade
Este artigo descreve como utilizar a ferramenta de dimensionamento Microsoft Defender para Identidade para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor de Microsoft Defender para Identidade.
Embora o desempenho do controlador de domínio possa não ser afetado se o servidor não tiver recursos necessários, o sensor do Defender para Identidade poderá não funcionar conforme esperado. Para obter mais informações, veja Microsoft Defender para Identidade pré-requisitos.
A ferramenta de dimensionamento mede a capacidade necessária apenas para controladores de domínio. Não é necessário executá-lo nos servidores do AD FS/AD CS/Entra Connect, uma vez que o impacto no desempenho nestes servidores é extremamente mínimo para não existir.
Sugestão
Por predefinição, o Defender para Identidade suporta até 350 sensores. Para instalar mais sensores, contacte o suporte do Defender para Identidade.
Pré-requisitos
- Transfira a ferramenta de dimensionamento do Defender para Identidade.
- Reveja o artigo Arquitetura do Defender para Identidade .
- Veja o artigo De pré-requisitos do Defender para Identidade .
Para garantir resultados precisos, execute apenas a ferramenta de dimensionamento antes de instalar sensores do Defender para Identidade no seu ambiente.
Utilizar a ferramenta de dimensionamento
Execute a ferramenta de dimensionamento do Defender para Identidade ,TriSizingTool.exe, a partir do ficheiro zip que transferiu.
Quando a ferramenta terminar de ser executada, abra os resultados do ficheiro do Excel.
No ficheiro do Excel, localize e selecione a folha Resumo do Azure ATP e, em seguida, verifique a coluna Sensor Suportado para obter resultados que indiquem se o servidor é suportado.
Por exemplo:
Nota
A outra folha no ficheiro é utilizada para o planeamento do Advanced Threat Analytics (ATA) e não é necessária para o Defender para Identidade.
A ferramenta de dimensionamento determina se o servidor é suportado com base no valor Pacotes Ocupados/Segundo , que é calculado com base nos 15 minutos mais movimentados durante um período de 24 horas.
Os resultados comuns incluem:
| Result | Descrição |
|---|---|
| Sim | O sensor é suportado no servidor. |
| Sim, mas são necessários recursos adicionais | O sensor é suportado no servidor, desde que adicione quaisquer recursos especificados em falta. |
| Talvez | O valor atual de Pacotes Ocupados/seg pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para compreender os processos em execução nesse momento e se pode limitar a largura de banda desses processos em circunstâncias normais. |
| Talvez, mas são necessários recursos adicionais | O sensor pode ser suportado no servidor, desde que adicione quaisquer recursos em falta especificados ou os pacotes/seg. Ocupados podem ser superiores a 60 000. |
| Não | O sensor não é suportado no servidor. O valor atual de Pacotes Ocupados/seg pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para compreender os processos em execução nesse momento e se pode limitar a largura de banda desses processos em circunstâncias normais. |
| Dados do SO em Falta | Ocorreu um problema ao ler os dados do sistema operativo. Certifique-se de que a ligação ao servidor consegue consultar a WMI remotamente. |
| Dados de Tráfego em Falta | Ocorreu um problema ao ler os dados de tráfego. Certifique-se de que a ligação ao servidor consegue consultar os contadores de desempenho remotamente. |
| Dados de RAM em falta | Ocorreu um problema ao ler os dados da RAM. Certifique-se de que a ligação ao servidor consegue consultar a WMI remotamente. |
| Dados principais em falta | Ocorreu um problema ao ler os dados principais. Certifique-se de que a ligação ao servidor consegue consultar a WMI remotamente. |
Por exemplo, a imagem seguinte mostra um conjunto de resultados em que Talvez indique que o valor Pacotes Ocupados/seg é significativamente maior nesse ponto do que a média. Tenha em atenção que a opção Apresentar Horas dc como UTC/Local está definida como Hora local do DC. Esta definição ajuda a realçar o facto de os valores terem sido tirados por volta das 3:30 da manhã.
Dimensionamento estimado do sensor do Defender para Identidade
A tabela seguinte mostra a capacidade estimada de CPU e RAM necessária para um sensor do Defender para Identidade, com base na quantidade típica de tráfego de rede gerado por um controlador de domínio.
Esta tabela é uma estimativa. A quantidade final que o sensor analisa depende da quantidade de tráfego e da distribuição do tráfego.
| Pacotes ocupados/segundo | CPU (núcleos físicos) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
Nesta tabela:
A capacidade da CPU e da RAM refere-se ao consumo do próprio sensor e não à capacidade do controlador de domínio.
A capacidade da CPU não inclui núcleos hiper-threaded. Recomendamos que não trabalhe com núcleos hyper-threaded, o que pode resultar em problemas de estado de funcionamento no sensor do Defender para Identidade.
Ao determinar o dimensionamento, tenha em atenção o número total de núcleos e a quantidade total de memória que será utilizada pelo serviço de sensor.
Para obter mais informações, veja Limitações de recursos.
Estimativa de dimensionamento manual para controladores de domínio
Se não conseguir utilizar a ferramenta de dimensionamento, pode estimar manualmente se os servidores do controlador de domínio têm recursos suficientes para um sensor do Defender para Identidade.
Recolha manualmente as informações do contador de pacotes/segundo de todos os controladores de domínio, durante 24 horas com um intervalo de coleção baixo, como 5 segundos. Para cada controlador de domínio, calcule a média diária e a média do período mais movimentado (15 minutos).
Várias ferramentas podem ajudá-lo a descobrir o contador médio de pacotes/segundo para o controlador de domínio. Este procedimento descreve um exemplo de como utilizar o Monitor de Desempenho para recolher as informações relevantes.
Abra o Monitor de Desempenho e expanda Conjuntos de Recoletores de Dados.
Clique com o botão direito do rato em Definido pelo Utilizador e selecione Novo > Conjunto de Recoletores de Dados.
Introduza um nome significativo para o conjunto de recoletores e selecione Criar Manualmente (Avançadas).
Em Que tipo de dados pretende incluir?, selecione Criar registos de dados e Contador de desempenho.
Expanda Placa de Rede e, em seguida, selecione Pacotes/seg e a área de trabalho relevante. Se não tiver a certeza da área de trabalho a selecionar, selecione <Todas as áreas> de trabalho. Selecione Adicionar>OK para concluir o passo.
Em alternativa, se estiver a executar este passo a partir da linha de comandos, execute
ipconfig /allpara ver o nome e a configuração do adaptador.Altere o Intervalo de exemplo para cinco segundos e defina onde pretende que os dados sejam guardados.
Em Criar o conjunto de recoletores de dados, selecione Iniciar este conjunto de recoletores de dados agora>Concluir.
Deverá agora ver o conjunto de recoletores de dados que criou com um triângulo verde a indicar que está a funcionar.
Após 24 horas, pare o conjunto de recoletores de dados. Clique com o botão direito do rato no conjunto de recoletores de dados e selecione Parar.
No Explorador de Ficheiros, navegue para a pasta onde o ficheiro .blg foi guardado. Faça duplo clique no mesmo para o abrir no Monitor de Desempenho.
Selecione o contador Pacotes/seg e registe os valores médio e máximo.
Nota
Por predefinição, o Defender para Identidade suporta até 350 sensores. Se quiser instalar mais sensores, contacte o suporte do Defender para Identidade.