Planejar a capacidade de implantação do Microsoft Defender for Identity
Este artigo descreve como usar a ferramenta de dimensionamento do Microsoft Defender for Identity para determinar se os servidores do controlador de domínio têm recursos suficientes para um sensor do Microsoft Defender for Identity.
Embora o desempenho do controlador de domínio possa não ser afetado se o servidor não tiver os recursos necessários, o sensor Defender for Identity pode não funcionar conforme o esperado. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.
A ferramenta de dimensionamento mede a capacidade necessária apenas para controladores de domínio. Não há necessidade de executá-lo em servidores AD FS / AD CS, pois o impacto no desempenho dos servidores AD FS / AD CS é extremamente mínimo ou inexistente.
Gorjeta
Por padrão, o Defender for Identity suporta até 350 sensores. Para instalar mais sensores, entre em contato com o suporte do Defender for Identity.
Pré-requisitos
- Faça o download da ferramenta de dimensionamento do Defender for Identity.
- Consulte o artigo Defender for Identity architecture .
- Analise o artigo de pré-requisitos do Defender for Identity.
Para garantir resultados precisos, execute apenas a ferramenta de dimensionamento antes de instalar qualquer sensor do Defender for Identity em seu ambiente.
Use a ferramenta de dimensionamento
Execute a ferramenta de dimensionamento do Defender for Identity, TriSizingTool.exe, a partir do arquivo zip que você baixou.
Quando a ferramenta terminar de ser executada, abra os resultados do arquivo do Excel.
No ficheiro Excel, localize e selecione a folha Resumo do Azure ATP e, em seguida, verifique a coluna Sensor suportado para obter resultados que indiquem se o seu servidor é suportado.
Por exemplo:
Nota
A outra folha no arquivo é usada para o planejamento do Advanced Threat Analytics (ATA) e não é necessária para o Defender for Identity.
A ferramenta de dimensionamento determina se o servidor é suportado com base no valor Pacotes ocupados/segundo , que é calculado com base nos 15 minutos mais ocupados durante um período de 24 horas.
Os resultados comuns incluem:
| Result | Description |
|---|---|
| Sim | O sensor é suportado no seu servidor |
| Sim, mas são necessários recursos adicionais | O sensor é suportado no seu servidor, desde que você adicione quaisquer recursos especificados ausentes. |
| Talvez | O valor atual de Busy Packets/Second pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para entender os processos em execução naquele momento e se você pode limitar a largura de banda desses processos em circunstâncias normais. |
| Talvez, mas são necessários recursos adicionais | O sensor pode ser suportado no seu servidor, desde que você adicione quaisquer recursos especificados ausentes, ou os pacotes ocupados / segundo podem estar acima de 60K |
| Não | O sensor não é suportado no servidor. O valor atual de Busy Packets/Second pode ser significativamente maior nesse ponto do que a média. Verifique os carimbos de data/hora para entender os processos em execução naquele momento e se você pode limitar a largura de banda desses processos em circunstâncias normais. |
| Dados do SO em falta | Houve um problema ao ler os dados do sistema operacional. Verifique se a conexão com o servidor é capaz de consultar o WMI remotamente. |
| Dados de tráfego em falta | Houve um problema na leitura dos dados de tráfego. Verifique se a conexão com o servidor é capaz de consultar contadores de desempenho remotamente. |
| Dados de RAM ausentes | Houve um problema ao ler os dados da RAM. Verifique se a conexão com o servidor é capaz de consultar o WMI remotamente. |
| Dados principais em falta | Houve um problema na leitura dos dados principais. Verifique se a conexão com o servidor é capaz de consultar o WMI remotamente. |
Por exemplo, a imagem a seguir mostra um conjunto de resultados em que Maybe indica que o valor Busy Packets/Second é significativamente maior nesse ponto do que a média. Observe que o Display DC Times como UTC/Local está definido como Local DC Time. Essa configuração ajuda a destacar o fato de que os valores foram obtidos por volta das 3h30.
Dimensionamento estimado do sensor Defender for Identity
A tabela a seguir mostra a capacidade estimada de CPU e RAM necessária para um sensor do Defender for Identity, com base na quantidade típica de tráfego de rede gerado por um controlador de domínio.
Esta tabela é uma estimativa. A quantidade final que o sensor analisa depende da quantidade de tráfego e da distribuição do tráfego.
| Pacotes ocupados / segundo | CPU (núcleos físicos) | RAM (GB) |
|---|---|---|
| 0-1K | 0.25 | 2,50 |
| 1k-5k | 0,75 | 6,00 |
| 5K-10K | 1,00 | 6.50 |
| 10K-20K | 2.00 | 9,00 |
| 20K-50K | 3,50 | 9.50 |
| 50K-75K | 5.50 | 11.50 |
| 75K-100K | 7.50 | 13.50 |
Nesta tabela:
A capacidade da CPU e da RAM refere-se ao consumo próprio do sensor, não à capacidade do controlador de domínio.
A capacidade da CPU não inclui núcleos hyper-threaded. Recomendamos que você não trabalhe com núcleos hyper-threaded, o que pode resultar em problemas de integridade no sensor do Defender for Identity.
Ao determinar o dimensionamento, tenha em mente o número total de núcleos e a quantidade total de memória que será usada pelo serviço do sensor.
Para obter mais informações, consulte Limitações de recursos.
Estimativa manual de dimensionamento para controladores de domínio
Se você não conseguir usar a ferramenta de dimensionamento, poderá estimar manualmente se os servidores do controlador de domínio têm recursos suficientes para um sensor do Defender for Identity.
Reúna manualmente as informações do contador de pacotes/segundos de todos os seus controladores de domínio, durante 24 horas com um intervalo de recolha baixo, como 5 segundos. Para cada controlador de domínio, calcule a média diária e a média do período mais ocupado (15 minutos).
Várias ferramentas podem ajudá-lo a descobrir o contador médio de pacotes/segundos para o controlador de domínio. Este procedimento descreve um exemplo de como usar o Monitor de Desempenho para coletar as informações relevantes.
Abra o Monitor de Desempenho e expanda Conjuntos de Coletores de Dados.
Clique com o botão direito do mouse em Definido pelo Usuário e selecione Novo > Conjunto de Coletores de Dados.
Insira um nome significativo para o conjunto de coletores e selecione Criar manualmente (Avançado).
Em Que tipo de dados pretende incluir?, selecione Criar registos de dados e Contador de desempenho.
Expanda Adaptador de rede e selecione Pacotes/s e o espaço de trabalho relevante. Se não tiver certeza de qual espaço de trabalho selecionar, selecione <Todos os espaços de trabalho.> Selecione Adicionar>OK para concluir a etapa.
Como alternativa, se você estiver executando essa etapa a partir da linha de comando, execute
ipconfig /allpara ver o nome e a configuração do adaptador.Altere o intervalo Amostra para cinco segundos e defina onde deseja que os dados sejam salvos.
Em Criar o conjunto de coletores de dados, selecione Iniciar este conjunto de coletores de dados agora>Concluir.
Agora você deve ver o conjunto de coletores de dados criado com um triângulo verde indicando que ele está funcionando.
Após 24 horas, pare o conjunto de coletores de dados. Clique com o botão direito do mouse no conjunto de coletores de dados e selecione Parar.
No Explorador de Ficheiros, navegue até à pasta onde o ficheiro .blg foi guardado. Clique duas vezes nele para abri-lo no Monitor de Desempenho.
Selecione o contador Pacotes/s e registre os valores médio e máximo.
Nota
Por padrão, o Defender for Identity suporta até 350 sensores. Se você quiser instalar mais sensores, entre em contato com o suporte do Defender for Identity.