Obsługa wielu lasów w usłudze Microsoft Defender for Identity
Usługa Microsoft Defender for Identity obsługuje organizacje z wieloma lasami usługi Active Directory, umożliwiając łatwe monitorowanie użytkowników aktywności i profilów w lasach.
Organizacje przedsiębiorstwa zwykle mają kilka lasów usługi Active Directory — często używanych do różnych celów, w tym starszej infrastruktury z fuzji i przejęć firmowych, dystrybucji geograficznej i granic zabezpieczeń (czerwone lasy).
Zabezpieczanie wielu lasów usługi Active Directory za pomocą usługi Defender for Identity zapewnia następujące korzyści:
- Wyświetlanie i badanie działań wykonywanych przez użytkowników w wielu lasach z jednej lokalizacji
- Uzyskiwanie ulepszonego wykrywania i zmniejszanie wyników fałszywie dodatnich dzięki zaawansowanej integracji z usługą Active Directory i rozwiązywaniu problemów z kontem
- Zyskaj większą kontrolę i łatwiejsze wdrażanie dzięki ulepszonemu zestawowi problemów z kondycją i raportowaniu pokrycia między organizacji, gdy kontrolery domeny są monitorowane z jednego serwera usługi Defender for Identity
Uwaga
Każdy czujnik usługi Defender for Identity może zgłaszać tylko jeden obszar roboczy usługi Defender for Identity.
Działanie wykrywania w wielu lasach
Aby wykryć działania obejmujące wiele lasów, czujniki usługi Defender for Identity wysyłają zapytania do kontrolerów domeny w lasach zdalnych w celu utworzenia profilów dla wszystkich zaangażowanych jednostek, w tym użytkowników i komputerów z lasów zdalnych.
Czujniki usługi Defender for Identity można instalować na kontrolerach domeny we wszystkich lasach, nawet lasach bez zaufania.
Dodaj dodatkowe poświadczenia na stronie Konta usługi katalogowej, aby obsługiwać wszelkie niezaufane lasy w danym środowisku.
Do obsługi wszystkich lasów z dwukierunkowym zaufaniem jest wymagane tylko jedno poświadczenie.
Dodatkowe poświadczenia są wymagane tylko dla każdego lasu z zaufaniem innym niż Kerberos lub brak zaufania.
Istnieje domyślny limit 30 niezaufanych lasów na obszar roboczy usługi Defender for Identity. Skontaktuj się z pomocą techniczną, jeśli organizacja ma więcej niż 30 lasów.
Logowania interakcyjne wykonywane przez użytkowników w jednym lesie w celu uzyskania dostępu do zasobów w innym lesie nie są wyświetlane w usłudze Defender for Identity.
Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące konta usługi Microsoft Defender for Identity Directory Service.
Wpływ ruchu sieciowego na obsługę wielu lasów
Gdy usługa Defender for Identity mapuje lasy, używa następującego procesu:
Po uruchomieniu czujnika usługi Defender for Identity czujnik wysyła zapytanie do zdalnych lasów usługi Active Directory i pobiera listę użytkowników i danych komputera na potrzeby tworzenia profilu.
Co 5 minut każdy czujnik usługi Defender for Identity wysyła zapytanie o jeden kontroler domeny z każdej domeny z każdego lasu, aby zamapować wszystkie lasy w sieci.
Czujniki usługi Defender for Identity mapują lasy przy użyciu
trustedDomainobiektu usługi Active Directory, logując się i sprawdzając typ zaufania.
Ruch ad hoc może być widoczny, gdy czujnik usługi Defender for Identity wykryje aktywność między lasami. W takim przypadku czujniki usługi Defender for Identity będą wysyłać zapytanie LDAP do odpowiednich kontrolerów domeny w celu pobrania informacji o jednostce.