共用方式為


規劃部署 適用於身分識別的 Microsoft Defender 容量

本文說明如何使用 適用於身分識別的 Microsoft Defender 重設大小工具來判斷域控制器伺服器是否有足夠的資源可供 適用於身分識別的 Microsoft Defender 感測器使用。

雖然如果伺服器沒有必要的資源,域控制器效能可能不會受到影響,但適用於身分識別的 Defender 感測器可能無法如預期般運作。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件

重設大小工具只會測量域控制器所需的容量。 不需要針對 AD FS/AD CS/ Entra Connect 伺服器執行它,因為這些伺服器的效能影響極小,因此不存在。

提示

根據預設,適用於身分識別的 Defender 最多支援 350 個感測器。 若要安裝更多感測器,請連絡適用於身分識別的Defender支援。

必要條件

若要確保結果正確,請只在環境中安裝任何適用於身分識別的 Defender 感測器 之前 ,才執行重設大小工具。

使用重設大小工具

  1. 從您下載的 zip 檔案TriSizingTool.exe執行 適用於身分識別的 Defender 重設大小工具。

  2. 當工具完成執行時,開啟 Excel 檔案結果。

  3. 在 Excel 檔案中,找出並選取 [Azure ATP 摘要 ] 工作表,然後檢查 [ 支援感測器 ] 資料行中是否有結果指出是否支援您的伺服器。

    例如:

    範例容量規劃工具的螢幕快照。

    注意事項

    檔案中的另一個工作表用於進階 威脅分析 (ATA) 規劃,而適用於身分識別的 Defender 則不需要此工作表。

重設大小工具會根據忙 碌封包/秒 值來判斷是否支援您的伺服器,此值是根據 24 小時內最忙碌的 15 分鐘計算而來。

常見的結果包括:

結果 描述
您的伺服器上支援感測器。
是,但需要其他資源 只要您新增任何指定的遺漏資源,您的伺服器就支持感測器。
目前的 Busy Packets/sec 值在該點可能明顯高於平均值。 檢查時間戳以了解當時執行的進程,以及您是否可以在正常情況下限制這些進程的頻寬。
或許,但需要其他資源 只要您新增任何指定的遺漏資源,或 Busy 封包/秒 可能超過 60K,您的伺服器上就可以支持感測器。
您的伺服器不支援感測器。

目前的 Busy Packets/sec 值在該點可能明顯高於平均值。 檢查時間戳以了解當時執行的進程,以及您是否可以在正常情況下限制這些進程的頻寬。
遺漏操作系統數據 讀取作業系統數據時發生問題。 請確定您伺服器的連線能夠從遠端查詢 WMI。
遺漏流量數據 讀取流量數據時發生問題。 請確定與伺服器的連線能夠從遠端查詢性能計數器。
遺漏 RAM 數據 讀取 RAM 數據時發生問題。 請確定您伺服器的連線能夠從遠端查詢 WMI。
遺漏核心數據 讀取核心數據時發生問題。 請確定您伺服器的連線能夠從遠端查詢 WMI。

例如,下圖顯示一組結果,其中 Maybe 表示 Busy Packets/sec 值在該點明顯高於平均值。 請注意,[ 將 DC 時間顯示為 UTC/本 機] 設定為 [ 本機 DC 時間]。 此設定有助於醒目提示在上午 3:30 左右取得值的事實。

容量工具結果的螢幕快照,其中顯示 [可能] 值。

適用於身分識別的 Defender 感測器估計大小

下表根據域控制器產生的一般網路流量,顯示適用於身分識別的 Defender 感測器所需的預估 CPU 和 RAM 容量。

此數據表是估計值。 感測器剖析的最終數量取決於流量和流量分佈。

忙碌封包 / 秒 CPU (實體核心) RAM (GB)
0-1k 0.25 2.50
1k-5k 0.75 6.00
5k-10k 1.00 6.50
10k-20k 2.00 9.00
20k-50k 3.50 9.50
50k-75k 5.50 11.50
75k-100k 7.50 13.50

在下表中:

  • CPU 和 RAM 容量是指 感測器本身的耗用量,而不是域控制器容量。

  • CPU 容量不包含超線程核心。 建議您不要使用超線程核心,這可能會導致適用於身分識別的 Defender 感測器發生健康情況問題。

決定重設大小時,請記住感測器服務將使用的核心總數和記憶體總數。

如需詳細資訊,請參閱 資源限制

域控制器的手動重設大小估計

如果您無法使用 重設大小工具,您可以手動估計域控制器伺服器是否有足夠的資源可供適用於身分識別的 Defender 感測器使用。

從所有域控制器手動收集封包/秒計數器信息,時間超過24小時,收集間隔較低,例如5秒。 針對每個域控制器,計算每日平均值和最忙碌期間 (平均) 15 分鐘。

各種工具可協助您探索域控制器的平均封包/秒計數器。 此程式描述如何使用 效能監視器 來收集相關信息的範例。

  1. 開啟 [效能監視器],然後展開 [數據收集器集合]

  2. 以滑鼠右鍵按兩下 [使用者定義] ,然後選取 [ 新增 > 數據收集器集合器集合]

  3. 為收集器集合輸入有意義的名稱,然後選 取 [手動建立 (進階) ] 。

  4. [您要包含哪種類型的數據?] 下,選取 [ 建立數據記錄] 和 [性能計數器]

  5. 展開 [網络適配器 ],然後選取 [ 封包/秒 ] 和相關工作區。 如果您不確定要選取哪一個工作區,請選取 [ <所有工作區]>。 選 取 [新增>確定] 以完成步驟。

    或者,如果您要從命令行執行此步驟,請執行 ipconfig /all 以查看配接器名稱和組態。

  6. [範例間隔 ] 變更為 五秒,並定義您想要儲存數據的位置。

  7. [建立數據收集器集合器集合] 底下,選取 [立即啟動此數據收集器集合器集合器] [完成]。>

    您現在應該會看到您使用綠色三角形建立的數據收集器集合器集合,表示其運作正常。

  8. 24 小時後,停止數據收集器集合器集合。 以滑鼠右鍵按鍵按鍵收集器集合,然後選取 [ 停止]

  9. 在 檔案總管 中,流覽至儲存 .blg 檔案的資料夾。 按兩下以在 效能監視器 中開啟它。

  10. 選取 Packets/sec 計數器,並記錄平均值和最大值。

注意事項

根據預設,適用於身分識別的 Defender 最多支援 350 個感測器。 如果您想要安裝更多感測器,請連絡適用於身分識別的Defender支援。

下一步