Suporte a várias florestas do Microsoft Defender for Identity

O Microsoft Defender for Identity oferece suporte a organizações com várias florestas do Ative Directory, oferecendo a capacidade de monitorar facilmente a atividade e o perfil de usuários entre florestas.

As organizações empresariais normalmente têm várias florestas do Ative Directory - geralmente usadas para fins diferentes, incluindo infraestrutura herdada de fusões e aquisições corporativas, distribuição geográfica e limites de segurança (florestas vermelhas).

Proteger suas várias florestas do Ative Directory com o Defender for Identity oferece as seguintes vantagens:

  • Visualize e investigue atividades realizadas por usuários em várias florestas a partir de um único local
  • Obtenha deteção aprimorada e reduza falsos positivos com integração avançada do Ative Directory e resolução de contas
  • Obtenha maior controle e implantação mais fácil, com um conjunto aprimorado de problemas de integridade e relatórios para cobertura entre organizações quando seus controladores de domínio são monitorados a partir de um único servidor Defender for Identity

Nota

Cada sensor do Defender for Identity só pode reportar a um único espaço de trabalho do Defender for Identity.

Atividade de deteção em várias florestas

Para detetar atividades entre florestas, os sensores do Defender for Identity consultam controladores de domínio em florestas remotas para criar perfis para todas as entidades envolvidas, incluindo usuários e computadores de florestas remotas.

  • Os sensores do Defender for Identity podem ser instalados em controladores de domínio em todas as florestas, mesmo florestas sem confiança.

  • Adicione credenciais adicionais na página Contas de serviços de diretório para dar suporte a florestas não confiáveis em seu ambiente.

    • Apenas uma credencial é necessária para dar suporte a todas as florestas com uma confiança bidirecional.

    • São necessárias credenciais adicionais para cada floresta com confiança não Kerberos ou sem confiança.

    • Há um limite padrão de 30 credenciais por espaço de trabalho do Defender for Identity. Entre em contato com o suporte se precisar adicionar mais de 30 credenciais.

Para obter mais informações, consulte Recomendações de conta do Microsoft Defender for Identity Directory Service.

Impacto no tráfego de rede para suporte a várias florestas

Quando o Defender for Identity mapeia suas florestas, ele usa o seguinte processo:

  1. Depois que o sensor do Defender for Identity começa a ser executado, o sensor consulta as florestas remotas do Ative Directory e recupera uma lista de usuários e dados da máquina para a criação de perfis.

  2. A cada 5 minutos, cada sensor do Defender for Identity consulta um controlador de domínio de cada domínio, de cada floresta, para mapear todas as florestas da rede.

    Os sensores do Defender for Identity mapeiam as florestas usando o trustedDomain objeto Ative Directory, entrando e verificando o tipo de confiança.

Você poderá ver tráfego ad-hoc quando o sensor do Defender for Identity detetar atividade entre florestas. Quando isso ocorrer, os sensores do Defender for Identity enviarão uma consulta LDAP aos controladores de domínio relevantes para recuperar informações da entidade.