Unterstützung von Microsoft Defender for Identity mit mehreren Gesamtstrukturen
Microsoft Defender for Identity unterstützt Organisationen mit mehreren Active Directory-Gesamtstrukturen, sodass Sie Aktivitäten und Profilbenutzer über Gesamtstrukturen hinweg problemlos überwachen können.
Unternehmensorganisationen verfügen in der Regel über mehrere Active Directory-Gesamtstrukturen , die häufig für unterschiedliche Zwecke verwendet werden, einschließlich veralteter Infrastruktur von Unternehmenszusammenschlüssen und -akquisitionen, geografischen Verteilungs- und Sicherheitsgrenzen (rote Gesamtstrukturen).
Das Sichern mehrerer Active Directory-Gesamtstrukturen mit Defender for Identity bietet die folgenden Vorteile:
- Anzeigen und Untersuchen von Aktivitäten, die von Benutzern über mehrere Gesamtstrukturen von einem einzelnen Standort ausgeführt werden
- Verbesserte Erkennung und Reduzierung falsch positiver Ergebnisse mit erweiterter Active Directory-Integration und Kontoauflösung
- Erhalten Sie mehr Kontrolle und einfachere Bereitstellung, mit einer verbesserten Reihe von Integritätsproblemen und Der Berichterstellung für die organisationsübergreifende Abdeckung, wenn Sie dies tun Standard Controller werden alle von einem einzelnen Defender for Identity-Server überwacht.
Hinweis
Jeder Defender for Identity-Sensor kann nur einen einzelnen Defender for Identity-Arbeitsbereich melden.
Erkennungsaktivität in mehreren Gesamtstrukturen
Um gesamtstrukturübergreifende Aktivitäten zu erkennen, führen Defender for Identity-Sensorenabfragen aus Standard-Controllern in Remotegesamtstrukturen, um Profile für alle beteiligten Entitäten zu erstellen, einschließlich Benutzer und Computer aus Remotegesamtstrukturen.
Defender for Identity-Sensoren können auf do Standard Controllern in allen Gesamtstrukturen installiert werden, sogar Gesamtstrukturen ohne Vertrauen.
Fügen Sie auf der Seite "Verzeichnisdienstkonten" zusätzliche Anmeldeinformationen hinzu, um alle nicht vertrauenswürdigen Gesamtstrukturen in Ihrer Umgebung zu unterstützen.
Es ist nur eine Anmeldeinformation erforderlich, um alle Gesamtstrukturen mit einer bidirektionale Vertrauensstellung zu unterstützen.
Zusätzliche Anmeldeinformationen sind nur für jede Gesamtstruktur mit Nicht-Kerberos-Vertrauensstellung oder keiner Vertrauensstellung erforderlich.
Pro Defender for Identity-Arbeitsbereich gibt es einen Standardgrenzwert von 30 nicht vertrauenswürdigen Gesamtstrukturen. Wenden Sie sich an den Support, wenn Ihre Organisation über mehr als 30 Gesamtstrukturen verfügt.
Interaktive Anmeldungen, die von Benutzern in einer Gesamtstruktur ausgeführt werden, um auf Ressourcen in einer anderen Gesamtstruktur zuzugreifen, werden nicht von Defender for Identity aufgeführt.
Weitere Informationen finden Sie unter Kontoempfehlungen für den Verzeichnisdienst von Microsoft Defender for Identity.
Auswirkungen des Netzwerkdatenverkehrs für die Unterstützung von mehreren Gesamtstrukturen
Wenn Defender for Identity Ihre Gesamtstrukturen zuordnet, wird der folgende Prozess verwendet:
Nachdem der Defender for Identity-Sensor gestartet wurde, fragt der Sensor die Remote-Active Directory-Gesamtstrukturen ab und ruft eine Liste der Benutzer und Computerdaten zur Profilerstellung ab.
Alle 5 Minuten fragt jeder Defender for Identity-Sensor eine do Standard Controller aus jeder Do Standard aus jeder Gesamtstruktur ab, um alle Gesamtstrukturen im Netzwerk zuzuordnen.
Die Defender for Identity-Sensoren ordnen die Gesamtstrukturen mithilfe des
trustedDomainActive Directory-Objekts zu, indem sie sich anmelden und den Vertrauenstyp überprüfen.
Möglicherweise wird Ad-hoc-Datenverkehr angezeigt, wenn der Defender for Identity-Sensor gesamtstrukturübergreifende Aktivitäten erkennt. In diesem Fall senden die Defender for Identity-Sensoren eine LDAP-Abfrage an die relevante Aktion Standard Controller, um Entitätsinformationen abzurufen.