Configurar espelhamento de porta
Este artigo descreve as opções de espelhamento de porta para o Microsoft Defender for Identity e é relevante apenas para sensores autônomos. O Defender for Identity usa principalmente a inspeção profunda de pacotes sobre o tráfego de rede de e para seus controladores de domínio. Para que os sensores autônomos do Defender for Identity vejam o tráfego de rede, você deve configurar o espelhamento de porta ou usar um TAP de rede. O espelhamento de porta copia o tráfego de uma porta (a porta de origem) para outra porta (a porta de destino).
Ao usar o espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio que você está monitorando como a origem do tráfego de rede. Recomendamos trabalhar com sua equipe de rede ou virtualização para configurar o espelhamento de portas.
Importante
Os sensores autónomos do Defender for Identity não suportam a recolha de entradas de registo ETW (Event Tracing for Windows) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implantação do sensor Defender for Identity.
Escolha um método de espelhamento de porta
Os controladores de domínio e o sensor autônomo do Defender for Identity podem ser físicos ou virtuais. A seguir estão métodos comuns para espelhamento de porta e algumas considerações. Para obter mais informações, consulte a documentação do produto do switch ou do servidor de virtualização. O fabricante do comutador pode usar terminologia diferente.
Método | Description |
---|---|
Analisador de porta comutada (SPAN) | Copia o tráfego de rede de uma ou mais portas de switch para outra porta de switch no mesmo switch. Tanto o sensor autônomo do Defender for Identity quanto os controladores de domínio devem estar conectados ao mesmo comutador físico. |
Analisador de porta de switch remoto (RSPAN) | Permite monitorar o tráfego de rede a partir de portas de origem distribuídas por vários switches físicos. O RSPAN copia o tráfego de origem para uma VLAN especial configurada pelo RSPAN. Essa VLAN precisa ser entroncada para os outros switches envolvidos. O RSPAN funciona na Camada 2. |
Analisador de porta de switch remoto encapsulado (ERSPAN) | Uma tecnologia proprietária da Cisco que trabalha na Camada 3. O ERSPAN permite monitorar o tráfego entre switches sem a necessidade de troncos VLAN e usa o encapsulamento de roteamento genérico (GRE) para copiar o tráfego de rede monitorado. Atualmente, o Defender for Identity não pode receber diretamente o tráfego ERSPAN. Em vez disso: 1. Configure o destino ERSPAN onde o tráfego é descapsulado como um switch ou roteador que pode descapsular o tráfego. 1. Configure o switch ou roteador para encaminhar o tráfego descapsulado para o sensor autônomo do Defender for Identity usando SPAN ou RSPAN. |
Nota
Se o controlador de domínio que está sendo espelhado estiver conectado por um link WAN, verifique se o link WAN pode lidar com a carga adicional do tráfego ERSPAN.
O Defender for Identity só oferece suporte ao monitoramento de tráfego quando o tráfego atinge a NIC e o controlador de domínio da mesma maneira. O Defender for Identity não oferece suporte ao monitoramento de tráfego quando o tráfego é dividido para portas diferentes.
Opções de espelhamento de porta suportadas
A tabela a seguir descreve o suporte do Defender for Identity para configurações de espelhamento de porta:
Sensor independente do Defender for Identity | Controlador de domínio | Considerações |
---|---|---|
Virtual | Virtual no mesmo host | O comutador virtual precisa suportar espelhamento de porta. Mover uma das máquinas virtuais para outro host por si só pode quebrar o espelhamento da porta. |
Virtual | Virtual em diferentes anfitriões | Certifique-se de que o comutador virtual suporta este cenário. |
Virtual | Físico | Requer um adaptador de rede dedicado, caso contrário, o Defender for Identity vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o serviço de nuvem do Defender for Identity. |
Físico | Virtual | Certifique-se de que o comutador virtual suporta este cenário - e a configuração de espelhamento de porta nos comutadores físicos com base no cenário: Se o host virtual estiver no mesmo comutador físico, você precisará configurar uma extensão de nível de switch. Se o host virtual estiver em um switch diferente, você precisará configurar RSPAN ou ERSPAN*. |
Físico | Físico no mesmo interruptor | O switch físico deve suportar SPAN/espelhamento de porta. |
Físico | Físico em um interruptor diferente | Requer comutadores físicos para suportar RSPAN ou ERSPAN O ERSPAN só é suportado quando a descapsulação é realizada antes que o tráfego seja analisado pelo Defender for Identity. |
Nota
O tempo nos controladores de domínio e no sensor Defender for Identity conectado deve ser sincronizado dentro de 5 minutos um do outro.
Conteúdos relacionados
Para obter mais informações, consulte: