规划Microsoft Defender for Identity部署的容量
本文介绍如何使用Microsoft Defender for Identity大小调整工具来确定域控制器服务器是否有足够的资源用于Microsoft Defender for Identity传感器。
如果服务器没有所需的资源,域控制器性能可能不会受到影响,但 Defender for Identity 传感器可能无法按预期运行。 有关详细信息,请参阅Microsoft Defender for Identity先决条件。
大小调整工具仅测量域控制器所需的容量。 无需针对 AD FS/AD CS/Entra Connect 服务器运行它,因为这些服务器的性能影响极小到不存在。
提示
默认情况下,Defender for Identity 最多支持 350 个传感器。 若要安装更多传感器,请联系 Defender for Identity 支持。
先决条件
- 下载 Defender for Identity 大小调整工具。
- 查看 Defender for Identity 体系结构 一文。
- 查看 Defender for Identity 先决条件 一文。
为确保结果准确,请仅在环境中安装任何 Defender for Identity 传感器 之前 运行大小调整工具。
使用大小调整工具
从下载的 zip 文件运行 Defender for Identity 大小调整工具 TriSizingTool.exe。
工具完成运行后,打开 Excel 文件结果。
在 Excel 文件中,找到并选择“Azure ATP 摘要”工作表,然后检查“传感器支持”列以获取指示服务器是否受支持的结果。
例如:
注意
文件中的另一个工作表用于 高级威胁分析 (ATA) 规划,而 Defender for Identity 则不需要此表。
大小调整工具根据 忙碌数据包/秒 值确定服务器是否受支持,该值根据 24 小时内最繁忙的 15 分钟计算得出。
常见结果包括:
| 结果 | 说明 |
|---|---|
| 是 | 服务器支持传感器。 |
| 是,但需要其他资源 | 只要添加任何指定的缺失资源,服务器就支持传感器。 |
| 或 | 此时,当前 忙碌数据包数/秒 的值可能明显高于平均值。 检查时间戳以了解当时正在运行的进程,以及是否可以在正常情况下限制这些进程的带宽。 |
| 也许,但需要其他资源 | 只要添加任何指定的缺失资源,或者 忙碌数据包数/秒 可能高于 60K,传感器就可能在服务器上受支持。 |
| 否 | 服务器上的传感器不受支持。 此时,当前 忙碌数据包数/秒 的值可能明显高于平均值。 检查时间戳以了解当时正在运行的进程,以及是否可以在正常情况下限制这些进程的带宽。 |
| 缺少 OS 数据 | 读取操作系统数据时出现问题。 确保与服务器的连接能够远程查询 WMI。 |
| 缺少流量数据 | 读取交通数据时出现问题。 确保与服务器的连接能够远程查询性能计数器。 |
| 缺少 RAM 数据 | 读取 RAM 数据时出现问题。 确保与服务器的连接能够远程查询 WMI。 |
| 缺少核心数据 | 读取核心数据时出现问题。 确保与服务器的连接能够远程查询 WMI。 |
例如,下图显示了一组结果,其中 “可能 ”指示该点的 忙碌数据包数/秒 值明显高于平均值。 请注意,“ 将 DC 时间显示为 UTC/本地时间 ”设置为 “本地 DC 时间”。 此设置有助于突出显示值是在凌晨 3:30 左右获取的。
Defender for Identity 传感器估计大小调整
下表显示 Defender for Identity 传感器所需的估计 CPU 和 RAM 容量,具体取决于域控制器生成的典型网络流量量。
此表是估计值。 传感器分析的最终量取决于流量和流量分布。
| 繁忙数据包数/秒 | CPU (物理核心) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
在此表中:
CPU 和 RAM 容量是指 传感器自身的消耗量,而不是域控制器容量。
CPU 容量不包括超线程核心。 建议不要使用超线程核心,这可能会导致 Defender for Identity 传感器出现运行状况问题。
确定大小调整时,请记住传感器服务将使用的核心总数和内存总量。
有关详细信息,请参阅 资源限制。
域控制器的手动大小估计
如果无法使用 大小调整工具,可以手动估计域控制器服务器是否为 Defender for Identity 传感器提供了足够的资源。
手动从所有域控制器收集数据包/秒计数器信息,超过 24 小时,收集间隔较短,例如 5 秒。 对于每个域控制器,计算每日平均值和最繁忙的时段 (15 分钟) 平均值。
各种工具可帮助你发现域控制器的平均数据包/秒计数器。 此过程介绍了如何使用性能监视器收集相关信息的示例。
打开性能监视器并展开“数据收集器集”。
右键单击“ 用户定义 ”,然后选择“ 新建 > 数据收集器集”。
为收集器集输入有意义的名称,然后选择“ 手动创建 (高级) 。
在“ 要包含哪种类型的数据?”下,选择“ 创建数据日志”和“性能计数器”。
展开 “网络适配器 ”,然后选择“ 数据包数/秒 ”和相关工作区。 如果不确定要选择哪个工作区,请选择“ <所有工作区>”。 选择“ 添加>确定” 完成此步骤。
或者,如果要从命令行执行此步骤,请运行
ipconfig /all以查看适配器名称和配置。将 “采样间隔 ”更改为 5 秒,并定义要保存数据的位置。
在“创建数据收集器集”下,选择“立即>启动此数据收集器集完成”。
现在应会看到创建的数据收集器集,并带有一个绿色三角形,指示它正在运行。
24 小时后,停止数据收集器集。 右键单击数据收集器集,然后选择“ 停止”。
在 文件资源管理器中,浏览到保存 .blg 文件的文件夹。 双击它以在性能监视器中将其打开。
选择 “数据包数/秒 ”计数器,并记录平均值和最大值。
注意
默认情况下,Defender for Identity 最多支持 350 个传感器。 如果要安装更多传感器,请联系 Defender for Identity 支持。