Microsoft Defender for Identity ondersteuning voor meerdere forests
Microsoft Defender for Identity ondersteunt organisaties met meerdere Active Directory-forests, zodat u eenvoudig activiteiten kunt bewaken en gebruikers in forests kunt profilen.
Ondernemingsorganisaties hebben doorgaans verschillende Active Directory-forests die vaak voor verschillende doeleinden worden gebruikt, waaronder verouderde infrastructuur van bedrijfsfusies en overnames, geografische distributie en beveiligingsgrenzen (rode forests).
Het beveiligen van meerdere Active Directory-forests met Defender for Identity biedt de volgende voordelen:
- Activiteiten weergeven en onderzoeken die worden uitgevoerd door gebruikers in meerdere forests vanaf één locatie
- Verbeterde detectie en vermindering van fout-positieven met geavanceerde Active Directory-integratie en accountomzetting
- Krijg meer controle en eenvoudigere implementatie, met een verbeterde set statusproblemen en rapportage voor organisatieoverschrijdende dekking wanneer uw domeincontrollers allemaal worden bewaakt vanaf één Defender for Identity-server
Opmerking
Elke Defender for Identity-sensor kan slechts rapporteren aan één Defender for Identity-werkruimte.
Detectieactiviteit in meerdere forests
Om forestoverschrijdende activiteiten te detecteren, voeren Defender for Identity-sensoren een query uit op domeincontrollers in externe forests om profielen te maken voor alle betrokken entiteiten, inclusief gebruikers en computers uit externe forests.
Defender for Identity-sensoren kunnen worden geïnstalleerd op domeincontrollers in alle forests, zelfs forests zonder vertrouwen.
Voeg extra referenties toe op de pagina Directory Services-accounts ter ondersteuning van niet-vertrouwde forests in uw omgeving.
Er is slechts één referentie vereist voor de ondersteuning van alle forests met een tweerichtingsvertrouwensrelatie.
Er zijn aanvullende referenties vereist voor elk forest met een niet-Kerberos-vertrouwensrelatie of geen vertrouwensrelatie.
Er is een standaardlimiet van 30 referenties per Defender for Identity-werkruimte. Neem contact op met ondersteuning als u meer dan 30 referenties wilt toevoegen.
Zie Microsoft Defender for Identity Directory Service-accountaanbeveling voor meer informatie.
Impact op netwerkverkeer voor ondersteuning met meerdere forests
Wanneer Defender for Identity uw forests toe wijst, wordt het volgende proces gebruikt:
Nadat de Defender for Identity-sensor is gestart, voert de sensor een query uit op de externe Active Directory-forests en wordt een lijst met gebruikers en computergegevens opgehaald voor het maken van een profiel.
Elke 5 minuten voert elke Defender for Identity-sensor een query uit op één domeincontroller uit elk domein, uit elk forest, om alle forests in het netwerk toe te wijzen.
De Defender for Identity-sensoren wijzen de forests toe met behulp van het
trustedDomainActive Directory-object door u aan te melden en het vertrouwenstype te controleren.
Mogelijk ziet u ad-hocverkeer wanneer de Defender for Identity-sensor forestactiviteit detecteert. Wanneer dit gebeurt, sturen de Defender for Identity-sensoren een LDAP-query naar de relevante domeincontrollers om entiteitsgegevens op te halen.