適用於身分識別的 Microsoft Defender 多樹系支援
適用於身分識別的 Microsoft Defender 支援具有多個 Active Directory 樹系的組織,讓您能夠輕鬆地監視跨樹系的活動和分析使用者。
企業組織通常有數個 Active Directory 樹系-通常用於不同的用途,包括來自公司合併和收購的舊版基礎結構、地理分佈和安全性界限(紅色樹系)。
使用適用於身分識別的 Defender 保護您的多個 Active Directory 樹系提供下列優點:
- 從單一位置檢視和調查 使用者跨多個樹系執行的活動
- 透過進階 Active Directory 整合和帳戶解析來改善偵測 並減少誤判
- 透過改善的一組健康情況問題和報告跨組織涵蓋範圍時,獲得更大的控制和更輕鬆的部署,當您的域控制器全都受到來自單一適用於身分識別的 Defender 伺服器的監視時,改善的健康情況問題和報告
注意
每個適用於身分識別的 Defender 感測器只能向單一適用於身分識別的 Defender 工作區報告。
跨多個樹系的偵測活動
若要偵測跨樹系活動,適用於身分識別的 Defender 感測器會查詢遠端樹系中的域控制器,以建立所有相關實體的配置檔,包括來自遠端樹系的用戶和計算機。
適用於身分識別的 Defender 感測器可以安裝在所有樹系中的域控制器上,即使是不信任的樹系。
在 [目錄服務帳戶] 頁面上新增其他認證,以支援您環境中任何不受信任的樹系。
只有一個認證才能支援具有雙向信任的所有樹系。
對於具有非 Kerberos 信任或無信任的每個樹系,都需要額外的認證。
每個適用於身分識別的 Defender 工作區的預設限制為 30 個認證。 如果您需要新增超過 30 個認證,請連絡支持 人員。
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 目錄服務帳戶建議。
多樹系支持的網路流量影響
當適用於身分識別的 Defender 對應您的樹系時,它會使用下列程式:
在適用於身分識別的 Defender 感測器開始執行之後,感測器會查詢遠端 Active Directory 樹系,並擷取使用者和計算機數據的清單,以建立配置檔。
每 5 分鐘,每個適用於身分識別的 Defender 感測器會從每個網域、每個樹系查詢一個域控制器,以對應網路中的所有樹系。
適用於身分識別的
trustedDomain
Defender 感測器會使用 Active Directory 對象來對應樹系,方法是登入並檢查信任類型。
當適用於身分識別的 Defender 感測器偵測到跨樹系活動時,您可能會看到臨機操作流量。 發生這種情況時,適用於身分識別的Defender感測器會將LDAP查詢傳送至相關的域控制器,以擷取實體資訊。