Ondersteuning voor meerdere forests voor Microsoft Defender for Identity
Microsoft Defender for Identity ondersteunt organisaties met meerdere Active Directory-forests, zodat u eenvoudig activiteiten- en profielgebruikers in forests kunt bewaken.
Ondernemingsorganisaties hebben doorgaans verschillende Active Directory-forests, vaak gebruikt voor verschillende doeleinden, waaronder verouderde infrastructuur van bedrijfsfusies en overnames, geografische distributie en beveiligingsgrenzen (rode forests).
Het beveiligen van uw meerdere Active Directory-forests met Defender for Identity biedt de volgende voordelen:
- Activiteiten weergeven en onderzoeken die worden uitgevoerd door gebruikers in meerdere forests vanaf één locatie
- Verbeterde detectie en vermindering van fout-positieven met geavanceerde Active Directory-integratie en accountomzetting
- Krijg meer controle en eenvoudigere implementatie, met een verbeterde set statusproblemen en rapportage voor dekking in meerdere organisaties wanneer uw domeincontrollers allemaal worden bewaakt vanaf één Defender for Identity-server
Notitie
Elke Defender for Identity-sensor kan slechts rapporteren aan één Defender for Identity-werkruimte.
Detectieactiviteit in meerdere forests
Om activiteiten tussen forests te detecteren, doorzoekt Defender for Identity-sensoren domeincontrollers in externe forests om profielen te maken voor alle betrokken entiteiten, inclusief gebruikers en computers uit externe forests.
Defender for Identity-sensoren kunnen worden geïnstalleerd op domeincontrollers in alle forests, zelfs forests zonder vertrouwen.
Voeg aanvullende referenties toe op de pagina Directory Services-accounts ter ondersteuning van niet-vertrouwde forests in uw omgeving.
Er is slechts één referentie vereist om alle forests met een tweerichtingsvertrouwensrelatie te ondersteunen.
Aanvullende referenties zijn vereist voor elk forest met een niet-Kerberos-vertrouwensrelatie of geen vertrouwensrelatie.
Er is een standaardlimiet van 30 referenties per Defender for Identity-werkruimte. Neem contact op met de ondersteuning als u meer dan 30 referenties moet toevoegen.
Zie microsoft Defender for Identity Directory Service-accountaan aanbevelingen voor meer informatie.
Gevolgen voor netwerkverkeer voor ondersteuning voor meerdere forests
Wanneer Defender for Identity uw forests toe wijst, wordt het volgende proces gebruikt:
Nadat de Defender for Identity-sensor is gestart, vraagt de sensor de externe Active Directory-forests op en haalt een lijst met gebruikers en computergegevens op voor het maken van profielen.
Elke vijf minuten vraagt elke Defender for Identity-sensor één domeincontroller uit elk domein, van elk forest, om alle forests in het netwerk toe te wijzen.
De Defender for Identity-sensoren wijzen de forests toe met behulp van het
trustedDomainActive Directory-object door u aan te melden en het vertrouwenstype te controleren.
Mogelijk ziet u ad-hocverkeer wanneer de Defender for Identity-sensor activiteit tussen forests detecteert. Wanneer dit gebeurt, verzenden de Defender for Identity-sensoren een LDAP-query naar de relevante domeincontrollers om entiteitsgegevens op te halen.