Envisagez la capacité pour le déploiement de Microsoft Defender pour Identity
Cet article explique comment utiliser l’outil de dimensionnement Microsoft Defender pour Identity pour déterminer si vos serveurs de contrôleur de domaine disposent de suffisamment de ressources pour un capteur Microsoft Defender pour Identity.
Bien que les performances du contrôleur de domaine ne soient pas affectées si le serveur n’a pas de ressources requises, le capteur Defender pour Identity peut ne pas fonctionner comme prévu. Pour plus d’informations, consultez Prérequis pour Microsoft Defender pour Identity.
L’outil de dimensionnement mesure la capacité nécessaire pour les contrôleurs de domaine uniquement. Il n’est pas nécessaire de l’exécuter sur les serveurs AD FS / AD CS, car l’impact sur les performances sur les serveurs AD FS / AD CS est extrêmement minime pour ne pas exister.
Conseil
Par défaut, Defender pour Identity prend en charge jusqu’à 350 capteurs. Pour installer plus de capteurs, contactez le support technique de Defender pour Identity.
Prérequis
- Téléchargez l’outil de dimensionnement de Defender pour Identity.
- Passez en revue l’article Architecture de Defender pour Identity.
- Passez en revue l’article Prérequis pour Defender pour Identity.
Pour garantir des résultats précis, exécutez uniquement l’outil de dimensionnement avant d’installer des capteurs Defender pour Identity dans votre environnement.
Utiliser l’outil de dimensionnement
Exécutez l’outil de dimensionnement Defender pour Identity, TriSizingTool.exe, à partir du fichier zip que vous avez téléchargé.
Une fois l’outil en cours d’exécution, ouvrez les résultats du fichier Excel.
Dans le fichier Excel, recherchez et sélectionnez la feuille Résumé Azure ATP, puis vérifiez la colonne Capteur pris en charge pour les résultats qui indiquent si votre serveur est pris en charge.
Par exemple :
Remarque
L’autre feuille du fichier est utilisée pour la planification Advanced Threat Analytics (ATA) et n’est pas nécessaire pour Defender pour Identity.
L’outil de dimensionnement détermine si votre serveur est pris en charge en fonction de la valeur Paquets occupés par seconde, calculée en fonction des 15 minutes les plus chargées sur une période de 24 heures.
Les résultats courants sont les suivants :
| Result | Description |
|---|---|
| Oui | Le capteur est pris en charge sur votre serveur |
| Oui, mais des ressources supplémentaires sont requises | Le capteur est pris en charge sur votre serveur tant que vous ajoutez les ressources manquantes spécifiées. |
| Peut-être | La valeur actuelle Paquets occupés par seconde peut être beaucoup plus élevée à ce stade que la moyenne. Vérifiez les horodatages pour comprendre les processus en cours d’exécution à ce moment-là et si vous pouvez limiter la bande passante pour ces processus dans des circonstances normales. |
| Peut-être, mais des ressources supplémentaires requises | Le capteur peut être pris en charge sur votre serveur tant que vous ajoutez des ressources manquantes spécifiées ou que les paquets occupés par seconde peuvent être supérieurs à 60 000 |
| Aucun | Le capteur n’est pas pris en charge sur votre serveur. La valeur actuelle Paquets occupés par seconde peut être beaucoup plus élevée à ce stade que la moyenne. Vérifiez les horodatages pour comprendre les processus en cours d’exécution à ce moment-là et si vous pouvez limiter la bande passante pour ces processus dans des circonstances normales. |
| Données du système d’exploitation manquantes | Un problème s’est produit lors de la lecture des données du système d’exploitation. Vérifiez que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
| Données de trafic manquantes | Il y a eu un problème lors de la lecture des données de trafic. Vérifiez que la connexion à votre serveur est en mesure d’interroger des compteurs de performances à distance. |
| Des données de RAM sont manquantes | Il y a eu un problème lors de la lecture des données ram. Vérifiez que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
| Des données cœur sont manquantes | Il y a eu un problème lors de la lecture des données principales. Vérifiez que la connexion à votre serveur est en mesure d’interroger WMI à distance. |
Par exemple, l’image suivante montre un ensemble de résultats où la valeur Peut-être indique que la valeur Paquets occupés par seconde est considérablement plus élevée à ce stade que la moyenne. Notez que l’heure du contrôleur de domaine d’affichage en tant qu’heure UTC/locale est définie sur Heure du contrôleur de domaine local. Ce paramètre permet de mettre en évidence le fait que les valeurs ont été prises à environ 3 h 30.
Dimensionnement estimé du capteur Defender pour Identity
Le tableau suivant montre la capacité de processeur et de RAM estimée nécessaire pour un capteur Defender pour Identity, en fonction de la quantité classique de trafic réseau généré par un contrôleur de domaine.
Ce tableau est une estimation. La quantité finale que le capteur analyse dépend de la quantité de trafic et de la distribution du trafic.
| Paquets par seconde occupés | UC (cœurs physiques) | RAM (Go) |
|---|---|---|
| 0 à 1 000 | 0,25 | 2,50 |
| 1 000 à 5 000 | 0.75 | 6,00 |
| 5 000 à 10 000 | 1,00 | 6,50 |
| 10 000 à 20 000 | 2,00 | 9,00 |
| 20 000 à 50 000 | 3.50 | 9,50 |
| 50 000 à 75 000 | 5.50 | 11,50 |
| 75 000 à 100 000 | 7,50 | 13,50 |
Dans ce tableau :
La capacité processeur et RAM fait référence à la propre consommation du capteur, et non à la capacité du contrôleur de domaine.
La capacité du processeur n’inclut pas de cœurs hyperthread. Nous vous recommandons de ne pas utiliser de cœurs hyperthread, ce qui peut entraîner des problèmes d’intégrité dans le capteur Defender for Identity.
Lorsque vous déterminez le dimensionnement, gardez à l’esprit le nombre total de cœurs et la quantité totale de mémoire qui sera utilisée par le service de capteur.
Pour plus d’informations, consultez Limitations des ressources.
Estimation manuelle du dimensionnement pour les contrôleurs de domaine
Si vous ne parvenez pas à utiliser l’outil de dimensionnement, vous pouvez estimer manuellement si vos serveurs de contrôleur de domaine disposent de suffisamment de ressources pour un capteur Defender pour Identity à la place.
Rassemblez manuellement les informations de compteur de paquets/secondes de tous vos contrôleurs de domaine, sur 24 heures avec un intervalle de collecte faible comme 5 secondes. Pour chaque contrôleur de domaine, calculez la moyenne quotidienne et la moyenne la plus chargée (15 minutes).
Différents outils peuvent vous aider à découvrir le compteur moyen de paquets/secondes pour votre contrôleur de domaine. Cette procédure décrit un exemple d’utilisation de Analyseur de performances pour collecter les informations pertinentes.
Ouvrez Analyseur de performances et développez les jeux de collecteurs de données.
Cliquez avec le bouton droit sur Défini par l’utilisateur et sélectionnez Nouveau > jeu de collecteurs de données.
Entrez un nom explicite pour le jeu de collecteurs, puis sélectionnez Créer manuellement (Avancé).
Sous Quel type de données voulez-vous inclure ?, sélectionnez Créer des journaux de données et compteur de performances.
Développez la carte réseau, puis sélectionnez Paquets/s et l’espace de travail approprié. Si vous ne savez pas quel espace de travail sélectionner, sélectionnez <Tous les espaces de travail>. Sélectionnez Ajouter>OK pour terminer l’étape.
Sinon, si vous effectuez cette étape à partir de la ligne de commande, exécutez
ipconfig /allpour afficher le nom et la configuration de l’adaptateur.Remplacez l’intervalle d’échantillonnage par cinq secondes et définissez l’emplacement d’enregistrement des données.
Sous Créer le jeu de collecteurs de données, sélectionnez Démarrer ce jeu de collecteurs de données maintenant>Terminer.
Vous devez maintenant voir le jeu de collecteurs de données que vous avez créé avec un triangle vert indiquant qu’il fonctionne.
Après 24 heures, arrêtez le jeu de collecteurs de données. Cliquez avec le bouton droit sur le jeu de collecteurs de données, puis sélectionnez Arrêter.
Dans Explorateur de fichiers, accédez au dossier dans lequel le fichier .blg a été enregistré. Double-cliquez dessus pour l’ouvrir dans Analyseur de performances.
Sélectionnez le compteur Paquets/s , puis enregistrez les valeurs moyennes et maximales.
Remarque
Par défaut, Defender pour Identity prend en charge jusqu’à 350 capteurs. Si vous souhaitez installer plus de capteurs, contactez le support technique de Defender pour Identity.