Soporte de varios bosques de Microsoft Defender for Identity
Microsoft Defender for Identity admite organizaciones con varios bosques de Active Directory, lo que le permite supervisar fácilmente la actividad y generar perfiles de usuarios entre bosques.
Las organizaciones empresariales suelen tener varios bosques de Active Directory, que a menudo se usan con distintos fines, como la infraestructura heredada de fusiones corporativas y adquisiciones, la distribución geográfica y los límites de seguridad (bosques rojos).
La protección de varios bosques de Active Directory con Defender for Identity proporciona las siguientes ventajas:
- Visualización e investigación de actividades realizadas por los usuarios en varios bosques desde una sola ubicación
- Obtención de una detección mejorada y reducción de falsos positivos con la integración avanzada de Active Directory y la resolución de cuentas
- Obtenga un mayor control y una implementación más sencilla con un conjunto mejorado de problemas de mantenimiento e informes para la cobertura entre organizaciones cuando todos los controladores de dominio se supervisan desde un único servidor de Defender for Identity.
Nota:
Cada sensor de Defender for Identity solo puede informar a un único espacio de trabajo de Defender for Identity.
Actividad de detección en varios bosques
Para detectar actividades entre bosques, los sensores de Defender for Identity consultan controladores de dominio en bosques remotos para crear perfiles para todas las entidades implicadas, incluidos usuarios y equipos de bosques remotos.
Los sensores de Defender for Identity se pueden instalar en controladores de dominio de todos los bosques, incluso bosques sin confianza.
Agregue credenciales adicionales en la página Cuentas de servicios de directorio para admitir los bosques que no son de confianza en su entorno.
Solo se requiere una credencial para admitir todos los bosques con una confianza bidireccional.
Se requieren credenciales adicionales para cada bosque con o sin confianza que no sea de Kerberos.
Hay un límite predeterminado de 30 credenciales por área de trabajo de Defender for Identity. Póngase en contacto con soporte técnico si necesita agregar más de 30 credenciales.
Para obtener más información, consulte las recomendaciones de cuentas de Servicio de directorio para Microsoft Defender for Identity.
Impacto en el tráfico de red para el soporte de varios bosques
Cuando Defender for Identity asigna los bosques, usa el siguiente proceso:
Una vez que se inicia la ejecución del sensor de Defender for Identity, el sensor consulta los bosques remotos de Active Directory y recupera una lista de usuarios y datos de máquina para la creación de perfiles.
En intervalos de 5 minutos, cada sensor de Defender for Identity consulta el controlador de dominio de cada dominio, desde cada bosque, para asignar todos los bosques de la red.
Los sensores de Defender for Identity asignan los bosques mediante el objeto Active Directory
trustedDomain
al iniciar sesión y comprobar el tipo de confianza.
Es posible que vea el tráfico ad hoc cuando el sensor de Defender for Identity detecta la actividad entre bosques. Cuando esto ocurre, los sensores de Defender for Identity enviarán una consulta LDAP a los controladores de dominio pertinentes para recuperar información de entidad.