Obsługa wielu lasów w usłudze Microsoft Defender for Identity

Usługa Microsoft Defender for Identity obsługuje organizacje z wieloma lasami usługi Active Directory, umożliwiając łatwe monitorowanie użytkowników aktywności i profilów w lasach.

Organizacje przedsiębiorstwa zwykle mają kilka lasów usługi Active Directory — często używanych do różnych celów, w tym starszej infrastruktury z fuzji i przejęć firmowych, dystrybucji geograficznej i granic zabezpieczeń (czerwone lasy).

Zabezpieczanie wielu lasów usługi Active Directory za pomocą usługi Defender for Identity zapewnia następujące korzyści:

• Wyświetlanie i badanie działań wykonywanych przez użytkowników w wielu lasach z jednej lokalizacji
• Uzyskiwanie ulepszonego wykrywania i zmniejszanie wyników fałszywie dodatnich dzięki zaawansowanej integracji z usługą Active Directory i rozwiązywaniu problemów z kontem
• Zyskaj większą kontrolę i łatwiejsze wdrażanie dzięki ulepszonemu zestawowi problemów z kondycją i raportowaniu pokrycia między organizacji, gdy kontrolery domeny są monitorowane z jednego serwera usługi Defender for Identity

Uwaga

Każdy czujnik usługi Defender for Identity może zgłaszać tylko jeden obszar roboczy usługi Defender for Identity.

Działanie wykrywania w wielu lasach

Aby wykryć działania obejmujące wiele lasów, czujniki usługi Defender for Identity wysyłają zapytania do kontrolerów domeny w lasach zdalnych w celu utworzenia profilów dla wszystkich zaangażowanych jednostek, w tym użytkowników i komputerów z lasów zdalnych.

• Czujniki usługi Defender for Identity można instalować na kontrolerach domeny we wszystkich lasach, nawet lasach bez zaufania.

• Dodaj dodatkowe poświadczenia na stronie Konta usług katalogowych , aby obsługiwać wszelkie niezaufane lasy w danym środowisku.

  • Do obsługi wszystkich lasów z dwukierunkowym zaufaniem jest wymagane tylko jedno poświadczenie.

  • Dodatkowe poświadczenia są wymagane dla każdego lasu z zaufaniem innym niż Kerberos lub brak zaufania.

  • Istnieje domyślny limit 30 poświadczeń na obszar roboczy usługi Defender for Identity. Skontaktuj się z pomocą techniczną , jeśli musisz dodać więcej niż 30 poświadczeń.

Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące konta usługi Microsoft Defender for Identity Directory Service.

Wpływ ruchu sieciowego na obsługę wielu lasów

Gdy usługa Defender for Identity mapuje lasy, używa następującego procesu:

1. Po uruchomieniu czujnika usługi Defender for Identity czujnik wysyła zapytanie do zdalnych lasów usługi Active Directory i pobiera listę użytkowników i danych komputera na potrzeby tworzenia profilu.

2. Co 5 minut każdy czujnik usługi Defender for Identity wysyła zapytanie o jeden kontroler domeny z każdej domeny z każdego lasu, aby zamapować wszystkie lasy w sieci.

   Czujniki usługi Defender for Identity mapują lasy przy użyciu trustedDomain obiektu usługi Active Directory, logując się i sprawdzając typ zaufania.

Ruch ad hoc może być widoczny, gdy czujnik usługi Defender for Identity wykryje aktywność między lasami. W takim przypadku czujniki usługi Defender for Identity będą wysyłać zapytanie LDAP do odpowiednich kontrolerów domeny w celu pobrania informacji o jednostce.

Powiązana zawartość

• Wdrażanie usługi Microsoft Defender for Identity za pomocą usługi Microsoft Defender XDR
• Wymagania wstępne dotyczące usługi Microsoft Defender for Identity
• Konta usług katalogowych dla usługi Microsoft Defender for Identity