obsługa wielu lasów Microsoft Defender for Identity

Microsoft Defender for Identity obsługuje organizacje z wieloma lasami usługi Active Directory, co zapewnia możliwość łatwego monitorowania aktywności i profilowania użytkowników w lasach.

Organizacje przedsiębiorstwa zwykle mają kilka lasów usługi Active Directory — często używanych do różnych celów, w tym starszą infrastrukturę z firmowych fuzji i przejęć, dystrybucji geograficznej i granic zabezpieczeń (czerwone lasy).

Zabezpieczanie wielu lasów usługi Active Directory za pomocą usługi Defender for Identity zapewnia następujące korzyści:

• Wyświetlanie i badanie działań wykonywanych przez użytkowników w wielu lasach z jednej lokalizacji
• Uzyskiwanie ulepszonego wykrywania i zmniejszanie liczby wyników fałszywie dodatnich dzięki zaawansowanej integracji z usługą Active Directory i rozpoznawaniu kont
• Uzyskaj większą kontrolę i łatwiejsze wdrażanie, dzięki ulepszonym zestawom problemów z kondycją i raportowaniem na potrzeby pokrycia między organizacjami, gdy kontrolery domeny są monitorowane z poziomu jednego serwera usługi Defender for Identity

Uwaga

Każdy czujnik usługi Defender for Identity może zgłaszać tylko jeden obszar roboczy usługi Defender for Identity.

Działanie wykrywania w wielu lasach

Aby wykrywać działania między lasami, czujniki usługi Defender for Identity wysyłają zapytania do kontrolerów domeny w lasach zdalnych w celu tworzenia profilów dla wszystkich zaangażowanych jednostek, w tym użytkowników i komputerów z lasów zdalnych.

• Czujniki usługi Defender for Identity można zainstalować na kontrolerach domeny we wszystkich lasach, nawet lasach bez zaufania.

• Dodaj dodatkowe poświadczenia na stronie Konta usług katalogowych , aby obsługiwać wszystkie niezaufane lasy w środowisku.

  • Do obsługi wszystkich lasów z dwukierunkowym zaufaniem jest wymagane tylko jedno poświadczenie.

  • Dodatkowe poświadczenia są wymagane dla każdego lasu z zaufaniem innym niż Kerberos lub bez zaufania.

  • Istnieje domyślny limit 30 poświadczeń na obszar roboczy usługi Defender for Identity. Skontaktuj się z pomocą techniczną , jeśli chcesz dodać więcej niż 30 poświadczeń.

Aby uzyskać więcej informacji, zobacz rekomendacje dotyczące konta usługi Microsoft Defender for Identity Directory Service.

Wpływ ruchu sieciowego na obsługę wielu lasów

Gdy usługa Defender for Identity mapuje lasy, używa następującego procesu:

1. Po uruchomieniu czujnika usługi Defender for Identity czujnik wysyła zapytanie do zdalnych lasów usługi Active Directory i pobiera listę użytkowników i danych maszyny na potrzeby tworzenia profilu.

2. Co 5 minut każdy czujnik usługi Defender for Identity wysyła zapytanie do jednego kontrolera domeny z każdej domeny z każdego lasu w celu mapowania wszystkich lasów w sieci.

   Czujniki usługi Defender for Identity mapują lasy przy użyciu obiektu trustedDomain usługi Active Directory, logując się i sprawdzając typ zaufania.

Ruch ad hoc może zostać wyświetlony, gdy czujnik usługi Defender for Identity wykryje działanie między lasami. W takim przypadku czujniki usługi Defender for Identity wysyłają zapytanie LDAP do odpowiednich kontrolerów domeny w celu pobrania informacji o jednostce.

Zawartość pokrewna

• Wdrażanie Microsoft Defender for Identity za pomocą Microsoft Defender XDR
• Microsoft Defender for Identity wymagania wstępne
• Konta usługi katalogowej dla Microsoft Defender for Identity