Microsoft Defender para Identidade pré-requisitos do sensor autónomo
Este artigo lista os pré-requisitos para implementar um sensor Microsoft Defender para Identidade autónomo onde diferem dos principais pré-requisitos de implementação.
Para obter mais informações, veja Planear a capacidade para a implementação do Microsoft Defender para Identidade.
Importante
Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, recomendamos a implementação do sensor do Defender para Identidade.
Requisitos de sistema adicionais para sensores autónomos
Os sensores autónomos diferem dos pré-requisitos do sensor do Defender para Identidade da seguinte forma:
Os sensores autónomos requerem um mínimo de 5 GB de espaço em disco
Os sensores autónomos também podem ser instalados em servidores que estejam num grupo de trabalho.
Os sensores autónomos podem suportar a monitorização de vários controladores de domínio, consoante a quantidade de tráfego de rede de e para os controladores de domínio.
Se estiver a trabalhar com múltiplas florestas, os seus computadores de sensores autónomos têm de ter permissão para comunicar com todos os controladores de domínio de floresta remota através de LDAP.
Para obter informações sobre como utilizar máquinas virtuais com o sensor autónomo do Defender para Identidade, veja Configurar o espelhamento de porta.
Adaptadores de rede para sensores autónomos
Os sensores autónomos requerem, pelo menos, um dos seguintes adaptadores de rede:
Adaptadores de gestão - utilizados para comunicações na sua rede empresarial. O sensor utiliza este adaptador para consultar o DC que está a proteger e a executar a resolução para contas de computador.
Configure adaptadores de gestão com endereços IP estáticos, incluindo um gateway predefinido, e servidores DNS preferidos e alternativos.
O sufixo DNS para esta ligação deve ser o nome DNS do domínio para cada domínio a ser monitorizado.
Nota
Se o sensor autónomo do Defender para Identidade for membro do domínio, este poderá ser configurado automaticamente.
Adaptador de captura – utilizado para capturar tráfego de e para os controladores de domínio.
Importante
- Configure o espelhamento de porta para o adaptador de captura como o destino do tráfego de rede do controlador de domínio. Normalmente, tem de trabalhar com a equipa de rede ou virtualização para configurar o espelhamento de porta.
- Configure um endereço IP não encaminhável estático (com máscara /32) para o seu ambiente sem gateway de sensor predefinido e sem endereços de servidor DNS. Por exemplo: '10.10.0.10/32. Esta configuração garante que o adaptador de rede de captura pode capturar a quantidade máxima de tráfego e que o adaptador de rede de gestão é utilizado para enviar e receber o tráfego de rede necessário.
Nota
Se executar o Wireshark no sensor autónomo do Defender para Identidade, reinicie o serviço de sensor do Defender para Identidade depois de parar a captura do Wireshark. Se não reiniciar o serviço de sensor, o sensor deixa de capturar o tráfego.
Se tentar instalar o sensor do Defender para Identidade num computador configurado com um adaptador de Agrupamento NIC, receberá um erro de instalação. Se quiser instalar o sensor do Defender para Identidade num computador configurado com o agrupamento NIC, veja Problema de agrupamento nic do sensor do Defender para Identidade.
Portas para sensores autónomos
A tabela seguinte lista as portas adicionais que o sensor autónomo do Defender para Identidade necessita de configurar no adaptador de gestão, além das portas listadas para o sensor do Defender para Identidade.
| Protocol | Transporte | Porta | De | Para |
|---|---|---|---|---|
| Portas internas | ||||
| LDAP | TCP e UDP | 389 | Sensor do Defender para Identidade | Controladores de domínio |
| Secure LDAP (LDAPS) | TCP | 636 | Sensor do Defender para Identidade | Controladores de domínio |
| LDAP para Catálogo Global | TCP | 3268 | Sensor do Defender para Identidade | Controladores de domínio |
| LDAPS para Catálogo Global | TCP | 3269 | Sensor do Defender para Identidade | Controladores de domínio |
| Kerberos | TCP e UDP | 88 | Sensor do Defender para Identidade | Controladores de domínio |
| Hora do Windows | UDP | 123 | Sensor do Defender para Identidade | Controladores de domínio |
| Syslog (opcional) | TCP/UDP | 514, consoante a configuração | Servidor SIEM | Sensor do Defender para Identidade |
Requisitos do registo de eventos do Windows
A deteção do Defender para Identidade baseia-se em registos de Eventos do Windows específicos que o sensor analisa dos controladores de domínio. Para que os eventos corretos sejam auditados e incluídos no registo de Eventos do Windows, os controladores de domínio necessitam de definições precisas da Política de Auditoria Avançada do Windows.
Para obter mais informações, veja Verificação de políticas de auditoria avançadas e Políticas de auditoria de segurança avançadas na documentação do Windows.
Para se certificar de que o Evento 8004 do Windows é auditado conforme necessário pelo serviço, reveja as definições de auditoria NTLM.
Para sensores em execução em servidores do AD FS/AD CS, configure o nível de auditoria para Verboso. Para obter mais informações, veja Informações de auditoria de eventos do AD FS e informações de auditoria de eventos do AD CS.