Ondersteuning voor meerdere forests voor Microsoft Defender for Identity
Microsoft Defender for Identity ondersteunt organisaties met meerdere Active Directory-forests, zodat u eenvoudig activiteiten- en profielgebruikers in forests kunt bewaken.
Ondernemingsorganisaties hebben doorgaans verschillende Active Directory-forests, vaak gebruikt voor verschillende doeleinden, waaronder verouderde infrastructuur van bedrijfsfusies en overnames, geografische distributie en beveiligingsgrenzen (rode forests).
Het beveiligen van uw meerdere Active Directory-forests met Defender for Identity biedt de volgende voordelen:
- Activiteiten weergeven en onderzoeken die worden uitgevoerd door gebruikers in meerdere forests vanaf één locatie
- Verbeterde detectie en vermindering van fout-positieven met geavanceerde Active Directory-integratie en accountomzetting
- Krijg meer controle en eenvoudigere implementatie, met een verbeterde set statusproblemen en rapportage voor dekking in meerdere organisaties wanneer uw domeincontrollers allemaal worden bewaakt vanaf één Defender for Identity-server
Notitie
Elke Defender for Identity-sensor kan slechts rapporteren aan één Defender for Identity-werkruimte.
Detectieactiviteit in meerdere forests
Om activiteiten tussen forests te detecteren, doorzoekt Defender for Identity-sensoren domeincontrollers in externe forests om profielen te maken voor alle betrokken entiteiten, inclusief gebruikers en computers uit externe forests.
Defender for Identity-sensoren kunnen worden geïnstalleerd op domeincontrollers in alle forests, zelfs forests zonder vertrouwen.
Voeg extra referenties toe op de pagina Directory Service-accounts ter ondersteuning van niet-vertrouwde forests in uw omgeving.
Er is slechts één referentie vereist om alle forests met een tweerichtingsvertrouwensrelatie te ondersteunen.
Aanvullende referenties zijn alleen vereist voor elk forest met een niet-Kerberos-vertrouwensrelatie of geen vertrouwensrelatie.
Er is een standaardlimiet van 30 niet-vertrouwde forests per Defender for Identity-werkruimte. Neem contact op met ondersteuning als uw organisatie meer dan 30 forests heeft.
Interactieve aanmeldingen die door gebruikers in het ene forest worden uitgevoerd om toegang te krijgen tot resources in een ander forest, worden niet vermeld door Defender for Identity.
Zie microsoft Defender for Identity Directory Service-accountaan aanbevelingen voor meer informatie.
Gevolgen voor netwerkverkeer voor ondersteuning voor meerdere forests
Wanneer Defender for Identity uw forests toe wijst, wordt het volgende proces gebruikt:
Nadat de Defender for Identity-sensor is gestart, vraagt de sensor de externe Active Directory-forests op en haalt een lijst met gebruikers en computergegevens op voor het maken van profielen.
Elke vijf minuten vraagt elke Defender for Identity-sensor één domeincontroller uit elk domein, van elk forest, om alle forests in het netwerk toe te wijzen.
De Defender for Identity-sensoren wijzen de forests toe met behulp van het
trustedDomainActive Directory-object door u aan te melden en het vertrouwenstype te controleren.
Mogelijk ziet u ad-hocverkeer wanneer de Defender for Identity-sensor activiteit tussen forests detecteert. Wanneer dit gebeurt, verzenden de Defender for Identity-sensoren een LDAP-query naar de relevante domeincontrollers om entiteitsgegevens op te halen.