Планирование емкости для развертывания Microsoft Defender для удостоверений
В этой статье описывается, как с помощью средства определения размера Microsoft Defender для удостоверений определить, есть ли у серверов контроллера домена достаточно ресурсов для Microsoft Defender для удостоверений датчика.
Хотя производительность контроллера домена может не повлиять, если у сервера нет необходимых ресурсов, датчик Defender для удостоверений может работать неправильно. Дополнительные сведения см. в разделе предварительные требования Microsoft Defender для удостоверений.
Средство определения размера измеряет емкость, необходимую только для контроллеров домена. Нет необходимости запускать его на серверах AD FS, AD CS/ Entra Connect, так как влияние на производительность этих серверов крайне минимально, чтобы не существовать.
Совет
По умолчанию Defender для удостоверений поддерживает до 350 датчиков. Чтобы установить дополнительные датчики, обратитесь в службу поддержки Defender для удостоверений.
Предварительные условия
- Скачайте средство определения размера Defender для удостоверений.
- Ознакомьтесь со статьей Архитектура Defender для удостоверений .
- Ознакомьтесь со статьей Предварительные требования к Defender для удостоверений .
Чтобы обеспечить точные результаты, запустите средство определения размера только перед установкой датчиков Defender для удостоверений в вашей среде.
Использование средства определения размера
Запустите средство определения размера Defender для удостоверений TriSizingTool.exeиз скачаного ZIP-файла.
Когда средство завершит работу, откройте результаты файла Excel.
В файле Excel найдите и выберите лист Сводка Azure ATP, а затем проверка столбец Поддержка датчика для результатов, указывающих, поддерживается ли ваш сервер.
Например:
Примечание.
Другой лист в файле используется для планирования Advanced Threat Analytics (ATA) и не требуется для Defender для удостоверений.
Средство определения размера определяет, поддерживается ли сервер, на основе значения Занято количество пакетов в секунду , которое вычисляется на основе 15 самых загруженных минут в течение 24-часового периода.
Ниже перечислены распространенные результаты.
| Результат | Описание |
|---|---|
| Да | Датчик поддерживается на сервере. |
| Да, но требуются дополнительные ресурсы | Датчик поддерживается на сервере до тех пор, пока вы добавляете все указанные отсутствующие ресурсы. |
| Может быть | Текущее значение занято пакетов/с на этом этапе может быть значительно выше среднего. Проверьте метки времени, чтобы понять процессы, выполняемые в это время, и можно ли ограничить пропускную способность этих процессов в обычных условиях. |
| Может быть, но требуются дополнительные ресурсы | Датчик может поддерживаться на сервере до тех пор, пока вы добавляете все указанные отсутствующие ресурсы, а количество пакетов в секунду может быть выше 60 ТЫС. |
| Нет | Датчик не поддерживается на сервере. Текущее значение занято пакетов/с на этом этапе может быть значительно выше среднего. Проверьте метки времени, чтобы понять процессы, выполняемые в это время, и можно ли ограничить пропускную способность этих процессов в обычных условиях. |
| Отсутствуют данные ОС | Возникла проблема с чтением данных операционной системы. Убедитесь, что подключение к серверу может удаленно запрашивать WMI. |
| Отсутствующие данные о трафике | Возникла проблема с чтением данных о трафике. Убедитесь, что подключение к серверу может удаленно запрашивать счетчики производительности. |
| Отсутствуют данные ОЗУ | Возникла проблема с чтением данных ОЗУ. Убедитесь, что подключение к серверу может удаленно запрашивать WMI. |
| Отсутствуют основные данные | Возникла проблема с чтением основных данных. Убедитесь, что подключение к серверу может удаленно запрашивать WMI. |
Например, на следующем рисунке показан набор результатов, в которых значение Может указывает, что значение Занято пакетов/с на этом этапе значительно выше среднего. Обратите внимание, что для параметра Отображать время постоянного тока в формате UTC/Local задано значение Местное время dc. Этот параметр помогает подчеркнуть тот факт, что значения были приняты около 3:30.
Предполагаемый размер датчика Defender для удостоверений
В следующей таблице показана предполагаемая емкость ЦП и ОЗУ, необходимые для датчика Defender для удостоверений, на основе типичного объема сетевого трафика, создаваемого контроллером домена.
Эта таблица представляет собой оценку. Конечная сумма, которую анализирует датчик, зависит от объема трафика и распределения трафика.
| Количество загруженных пакетов в секунду | ЦП (физические ядра) | ОЗУ (ГБ) |
|---|---|---|
| 0–1k | 0.25 | 2.50 |
| 1–5k | 0.75 | 6.00 |
| 5–10 тыс. | 1.00 | 6.50 |
| 10–20k | 2.00 | 9.00 |
| 20–50 тыс. | 3.50 | 9.50 |
| 50–75 тыс. | 5.50 | 11.50 |
| 75–100k | 7.50 | 13.50 |
В этой таблице:
Емкость ЦП и ОЗУ относится к собственному потреблению датчика, а не к емкости контроллера домена.
Емкость ЦП не включает ядра с гиперпотоками. Рекомендуется не работать с ядрами с гиперпотоками, что может привести к проблемам работоспособности датчика Defender для удостоверений.
При определении размера учитывайте общее количество ядер и общий объем памяти, которые будут использоваться службой датчиков.
Дополнительные сведения см. в разделе Ограничения ресурсов.
Ручная оценка размера для контроллеров домена
Если вам не удается использовать средство определения размера, вы можете вручную оценить, есть ли на серверах контроллера домена достаточно ресурсов для датчика Defender для удостоверений.
Вручную соберите данные счетчика пакетов в секунду со всех контроллеров домена в течение 24 часов с небольшим интервалом сбора, например 5 секунд. Для каждого контроллера домена вычислите среднее ежедневное и среднее значение самого загруженного периода (15 минут).
Различные средства помогут вам обнаружить счетчик среднего пакета в секунду для контроллера домена. В этой процедуре описывается пример использования Монитор производительности для сбора соответствующей информации.
Откройте Монитор производительности и разверните узел Наборы сборщиков данных.
Щелкните правой кнопкой мыши Определяемый пользователем и выберите Создать > набор сборщиков данных.
Введите понятное имя для набора сборщиков и выберите Создать вручную (дополнительно).
В разделе Какой тип данных вы хотите включить?, выберите Создать журналы данных и Счетчик производительности.
Разверните узел Сетевой адаптер , а затем выберите Пакеты в секунду и соответствующую рабочую область. Если вы не знаете, какую рабочую область выбрать, выберите <Все рабочие области>. Нажмите кнопку Добавить>ОК , чтобы завершить этот шаг.
Кроме того, если вы выполняете этот шаг из командной строки, выполните команду
ipconfig /all, чтобы просмотреть имя и конфигурацию адаптера.Измените интервал выборки на пять секунд и определите, где нужно сохранить данные.
В разделе Создание набора сборщиков данных выберите Запустить этот набор сборщиков данных теперь>Готово.
Теперь вы увидите созданный набор сборщиков данных с зеленым треугольником, указывающим, что он работает.
Через 24 часа остановите набор сборщиков данных. Щелкните правой кнопкой мыши набор сборщиков данных и выберите Остановить.
В проводник перейдите в папку, в которой был сохранен BLG-файл. Дважды щелкните его, чтобы открыть его в Монитор производительности.
Выберите счетчик Количество пакетов в секунду и запишите среднее и максимальное значения.
Примечание.
По умолчанию Defender для удостоверений поддерживает до 350 датчиков. Если вы хотите установить дополнительные датчики, обратитесь в службу поддержки Defender для удостоверений.