다중 포리스트 지원 Microsoft Defender for Identity

Microsoft Defender for Identity 여러 Active Directory 포리스트가 있는 조직을 지원하여 포리스트에서 활동을 쉽게 모니터링하고 사용자를 프로파일하는 기능을 제공합니다.

엔터프라이즈 조직에는 일반적으로 여러 Active Directory 포리스트가 있으며, 기업 인수 합병, 지리적 배포 및 보안 경계(빨간색 포리스트)의 레거시 인프라를 포함하여 다양한 용도로 사용되는 경우가 많습니다.

Defender for Identity를 사용하여 여러 Active Directory 포리스트를 보호하면 다음과 같은 이점이 있습니다.

• 단일 위치에서 여러 포리스트에서 사용자가 수행한 활동 보기 및 조사
• 고급 Active Directory 통합 및 계정 확인을 사용하여 향상된 검색 및 가양성 감소
• 도메인 컨트롤러가 모두 단일 Defender for Identity 서버에서 모니터링되는 경우 향상된 상태 문제 집합 및 조직 간 검사에 대한 보고를 통해 보다 제어하고 쉽게 배포할 수 있습니다.

참고

각 Defender for Identity 센서는 단일 Defender for Identity 작업 영역에만 보고할 수 있습니다.

여러 포리스트에서의 검색 작업

포리스트 간 활동을 감지하기 위해 Defender for Identity 센서는 원격 포리스트의 도메인 컨트롤러를 쿼리하여 원격 포리스트의 사용자 및 컴퓨터를 포함하여 관련된 모든 엔터티에 대한 프로필을 만듭니다.

• Defender for Identity 센서는 신뢰가 없는 포리스트를 비롯한 모든 포리스트의 도메인 컨트롤러에 설치할 수 있습니다.

• 디렉터리 서비스 계정 페이지에 자격 증명을 추가하여 사용자 환경에서 신뢰할 수 없는 포리스트를 지원합니다.

  • 양방향 트러스트를 사용하는 모든 포리스트를 지원하려면 자격 증명이 하나만 필요합니다.

  • Kerberos가 아닌 트러스트 또는 트러스트가 없는 각 포리스트에 대해 추가 자격 증명이 필요합니다.

  • Defender for Identity 작업 영역당 기본 자격 증명 제한은 30개입니다. 30개 이상의 자격 증명을 추가해야 하는 경우 지원에 문의하세요.

자세한 내용은 Microsoft Defender for Identity Directory Service 계정 권장 사항을 참조하세요.

다중 포리스트 지원에 대한 네트워크 트래픽 영향

Defender for Identity가 포리스트를 매핑할 때 다음 프로세스를 사용합니다.

1. Defender for Identity 센서가 실행되고 나면 센서는 원격 Active Directory 포리스트를 쿼리하고 프로필 생성을 위해 사용자 및 컴퓨터 데이터 목록을 검색합니다.

2. 각 Defender for Identity 센서는 5분마다 각 포리스트의 각 도메인에서 하나의 도메인 컨트롤러를 쿼리하여 네트워크의 모든 포리스트를 매핑합니다.

   Defender for Identity 센서는 로그인하고 신뢰 유형을 확인하여 Active Directory 개체를 사용하여 trustedDomain 포리스트를 매핑합니다.

Defender for Identity 센서가 포리스트 간 활동을 감지하면 임시 트래픽이 표시 될 수 있습니다. 이 경우 Defender for Identity 센서는 관련 도메인 컨트롤러에 LDAP 쿼리를 보내 엔터티 정보를 검색합니다.

관련 콘텐츠

• Microsoft Defender XDR 사용하여 Microsoft Defender for Identity 배포
• Microsoft Defender for Identity 필수 구성 요소
• Microsoft Defender for Identity 대한 디렉터리 서비스 계정