Kimlik için Microsoft Defender dağıtımı için kapasite planlama
Bu makalede, etki alanı denetleyicisi sunucularınızın bir Kimlik için Microsoft Defender algılayıcısı için yeterli kaynağa sahip olup olmadığını belirlemek için Kimlik için Microsoft Defender boyutlandırma aracının nasıl kullanılacağı açıklanır.
Sunucunun gerekli kaynakları yoksa etki alanı denetleyicisi performansı etkilenmeyebilir ancak Kimlik için Defender algılayıcısı beklendiği gibi çalışmayabilir. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.
Boyutlandırma aracı yalnızca etki alanı denetleyicileri için gereken kapasiteyi ölçer. Ad FS / AD CS / Entra Connect sunucularında çalıştırmanıza gerek yoktur, bu sunucular üzerindeki performans etkisi çok az olduğundan mevcut değildir.
İpucu
Varsayılan olarak, Kimlik için Defender en fazla 350 algılayıcıyı destekler. Daha fazla algılayıcı yüklemek için Kimlik için Defender desteğine başvurun.
Önkoşullar
- Kimlik için Defender boyutlandırma aracını indirin.
- Kimlik için Defender mimarisi makalesini gözden geçirin.
- Kimlik için Defender önkoşulları makalesini gözden geçirin.
Doğru sonuçlar elde etmek için, ortamınıza Herhangi bir Kimlik için Defender algılayıcısı yüklemeden önce boyutlandırma aracını çalıştırın.
Boyutlandırma aracını kullanma
İndirdiğiniz zip dosyasından Kimlik için Defender boyutlandırma aracını TriSizingTool.exeçalıştırın.
Aracın çalışması tamamlandığında Excel dosya sonuçlarını açın.
Excel dosyasında Azure ATP Özeti sayfasını bulun ve seçin ve ardından Sunucunuzun desteklenip desteklenmediğini gösteren sonuçlar için Algılayıcı Desteklenen sütununu denetleyin.
Örneğin:
Not
Dosyadaki diğer sayfa Gelişmiş Tehdit Analizi (ATA) planlaması için kullanılır ve Kimlik için Defender için gerekli değildir.
Boyutlandırma aracı, sunucunuzun desteklenip desteklenmediğini, 24 saatlik sürenin en yoğun 15 dakikası temelinde hesaplanan Meşgul Paketler/Saniye değerine göre belirler.
Yaygın sonuçlar şunlardır:
| Sonuç | Açıklama |
|---|---|
| Evet | Algılayıcı sunucunuzda desteklenir. |
| Evet, ancak ek kaynaklar gerekiyor | Algılayıcı, belirtilen eksik kaynakları eklediğiniz sürece sunucunuzda desteklenir. |
| Belki | Geçerli Meşgul Paketleri/sn değeri bu noktada ortalamadan çok daha yüksek olabilir. O sırada çalışan işlemleri anlamak için zaman damgalarını denetleyin ve normal koşullarda bu işlemler için bant genişliğini sınırlayıp sınırlayamayacağınızı denetleyin. |
| Olabilir, ancak ek kaynaklar gereklidir | Algılayıcı, belirtilen eksik kaynakları eklediğiniz sürece sunucunuzda desteklenebilir veya Meşgul paketleri/sn değeri 60 binin üzerinde olabilir. |
| Hayır | Algılayıcı sunucunuzda desteklenmiyor. Geçerli Meşgul Paketleri/sn değeri bu noktada ortalamadan çok daha yüksek olabilir. O sırada çalışan işlemleri anlamak için zaman damgalarını denetleyin ve normal koşullarda bu işlemler için bant genişliğini sınırlayıp sınırlayamayacağınızı denetleyin. |
| Eksik İşletim Sistemi Verileri | İşletim sistemi verileri okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun. |
| Eksik Trafik Verileri | Trafik verileri okunurken bir sorun oluştu. Sunucunuzun bağlantısının performans sayaçlarını uzaktan sorgulayabildiğinden emin olun. |
| Eksik RAM verileri | RAM verileri okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun. |
| Eksik çekirdek veriler | Çekirdek veriler okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun. |
Örneğin aşağıdaki görüntüde, MeşgulPaketleri/sn değerinin bu noktada ortalamadan çok daha yüksek olduğunu gösteren bir sonuç kümesi gösterilmektedir. DC Saatlerini UTC/Yerel olarak görüntüle ayarının Yerel DC Saati olarak ayarlandığını unutmayın. Bu ayar, değerlerin 03:30 civarında alındığı gerçeğini vurgulamak için yardımcı olur.
Kimlik için Defender algılayıcısı tahmini boyutlandırma
Aşağıdaki tabloda, bir etki alanı denetleyicisi tarafından oluşturulan tipik ağ trafiği miktarına bağlı olarak Kimlik için Defender algılayıcısı için gereken tahmini CPU ve RAM kapasitesi gösterilmektedir.
Bu tablo bir tahmindir. Algılayıcının ayrıştırma yaptığı son miktar, trafik miktarına ve trafiğin dağılımına bağlıdır.
| Meşgul paketleri / saniye | CPU (fiziksel çekirdekler) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
Bu tabloda:
CPU ve RAM kapasitesi, etki alanı denetleyicisi kapasitesini değil algılayıcının kendi tüketimini ifade eder.
CPU kapasitesi hiper iş parçacıklı çekirdekler içermez. Kimlik için Defender algılayıcısında sistem durumu sorunlarına neden olabilecek hiper iş parçacıklı çekirdeklerle çalışmamanızı öneririz.
Boyutlandırmayı belirlerken, sensör hizmeti tarafından kullanılacak toplam çekirdek sayısını ve toplam bellek miktarını unutmayın.
Daha fazla bilgi için bkz . Kaynak sınırlamaları.
Etki alanı denetleyicileri için el ile boyutlandırma tahmini
Boyutlandırma aracını kullanamıyorsanız, etki alanı denetleyicisi sunucularınızın bunun yerine Kimlik için Defender algılayıcısı için yeterli kaynağa sahip olup olmadığını el ile tahmin edebilirsiniz.
5 saniye gibi düşük bir toplama aralığıyla 24 saatten fazla tüm etki alanı denetleyicilerinizden paket/saniye sayacı bilgilerini el ile toplayın. Her etki alanı denetleyicisi için günlük ortalamayı ve en yoğun dönem (15 dakika) ortalamasını hesaplayın.
Çeşitli araçlar, etki alanı denetleyiciniz için ortalama paket/saniye sayacını bulmanıza yardımcı olabilir. Bu yordamda, ilgili bilgileri toplamak için Performans İzleyicisi nasıl kullanılacağına ilişkin bir örnek açıklanmaktadır.
Performans İzleyicisi açın ve Veri Toplayıcı Kümeleri'ne genişletin.
Kullanıcı Tanımlı'ya sağ tıklayın ve Yeni Veri Toplayıcı Kümesi'ni >seçin.
Toplayıcı kümesi için anlamlı bir ad girin ve El ile Oluştur (Gelişmiş)'i seçin.
Hangi tür verileri eklemek istiyorsunuz? bölümünde Veri günlükleri oluştur'u ve Performans sayacını seçin.
Ağ Bağdaştırıcısı'nı genişletin ve paketler/sn ve ilgili çalışma alanını seçin. Hangi çalışma alanını seçeceğinizi emin değilseniz Tüm çalışma alanları'yı> seçin<. Adımı tamamlamak içinTamamEkle'yi> seçin.
Alternatif olarak, bu adımı komut satırından gerçekleştiriyorsanız bağdaştırıcının adını ve yapılandırmasını görmek için komutunu çalıştırın
ipconfig /all.Örnek aralığınıbeş saniye olarak değiştirin ve verilerin kaydedilmesini istediğiniz yeri tanımlayın.
Veri toplayıcı kümesi oluştur'un altında Bu veri toplayıcı kümesini şimdi>başlat Son'u seçin.
Şimdi oluşturduğunuz veri toplayıcı kümesinin çalıştığını belirten yeşil bir üçgen görmeniz gerekir.
24 saat sonra veri toplayıcı kümesini durdurun. Veri toplayıcı kümesine sağ tıklayın ve Durdur'u seçin.
Dosya Gezgini'da .blg dosyasının kaydedildiği klasöre göz atın. Performans İzleyicisi açmak için çift tıklayın.
Paketler/sn sayacını seçin ve ortalama ve maksimum değerleri kaydedin.
Not
Varsayılan olarak, Kimlik için Defender en fazla 350 algılayıcıyı destekler. Daha fazla algılayıcı yüklemek istiyorsanız Kimlik için Defender desteğine başvurun.