Microsoft Defender for Identity compatibilidad con varios bosques

Microsoft Defender for Identity admite organizaciones con varios bosques de Active Directory, lo que le permite supervisar fácilmente la actividad y generar perfiles de usuarios entre bosques.

Las organizaciones empresariales suelen tener varios bosques de Active Directory, que a menudo se usan con distintos fines, incluida la infraestructura heredada de fusiones y adquisiciones corporativas, distribución geográfica y límites de seguridad (bosques rojos).

La protección de varios bosques de Active Directory con Defender for Identity proporciona las siguientes ventajas:

• Visualización e investigación de las actividades realizadas por los usuarios en varios bosques desde una única ubicación
• Mejora de la detección y reducción de falsos positivos con la integración avanzada de Active Directory y la resolución de cuentas
• Obtenga un mayor control y una implementación más sencilla, con un conjunto mejorado de problemas de mantenimiento e informes para la cobertura entre organizaciones cuando todos los controladores de dominio se supervisan desde un único servidor de Defender for Identity.

Nota:

Cada sensor de Defender for Identity solo puede informar a un único área de trabajo de Defender for Identity.

Actividad de detección en varios bosques

Para detectar actividades entre bosques, los sensores de Defender for Identity consultan controladores de dominio en bosques remotos para crear perfiles para todas las entidades implicadas, incluidos los usuarios y equipos de bosques remotos.

• Los sensores de Defender for Identity se pueden instalar en controladores de dominio de todos los bosques, incluso en bosques sin confianza.

• Agregue credenciales adicionales en la página Cuentas de servicios de directorio para admitir los bosques que no son de confianza en su entorno.

  • Solo se necesita una credencial para admitir todos los bosques con una confianza bidireccional.

  • Se requieren credenciales adicionales para cada bosque con confianza no Kerberos o sin confianza.

  • Hay un límite predeterminado de 30 credenciales por área de trabajo de Defender for Identity. Póngase en contacto con el soporte técnico si necesita agregar más de 30 credenciales.

Para obtener más información, consulte Microsoft Defender for Identity recomendaciones de cuenta de servicio de directorio.

Impacto en el tráfico de red para la compatibilidad con varios bosques

Cuando Defender for Identity asigna los bosques, usa el proceso siguiente:

1. Una vez que el sensor de Defender for Identity comienza a ejecutarse, el sensor consulta los bosques remotos de Active Directory y recupera una lista de usuarios y datos de máquina para la creación de perfiles.

2. Cada 5 minutos, cada sensor de Defender for Identity consulta un controlador de dominio de cada dominio, de cada bosque, para asignar todos los bosques de la red.

   Los sensores de Defender for Identity asignan los bosques mediante el trustedDomain objeto de Active Directory, iniciando sesión y comprobando el tipo de confianza.

Es posible que vea tráfico ad hoc cuando el sensor de Defender for Identity detecte la actividad entre bosques. Cuando esto ocurre, los sensores de Defender for Identity enviarán una consulta LDAP a los controladores de dominio pertinentes para recuperar información de entidad.

Contenido relacionado

• Implementación de Microsoft Defender for Identity con Microsoft Defender XDR
• Requisitos previos de Microsoft Defender for Identity
• Cuentas de servicio de directorio para Microsoft Defender for Identity