Azure Advanced Threat Protection-Unterstützung für mehrere GesamtstrukturenAzure Advanced Threat Protection multi-forest support

Einrichten der Unterstützung für mehrere GesamtstrukturenMulti-forest support set up

Azure ATP unterstützt Organisationen mit mehreren Gesamtstrukturen, wodurch diese die Möglichkeit erhalten, Aktivitäten und Benutzerprofile in allen Gesamtstrukturen ganz einfach zu überwachen.Azure ATP supports organizations with multiple forests, giving you the ability to easily monitor activity and profile users across forests.

Unternehmensorganisationen können in der Regel über mehrere Active Directory-Gesamtstrukturen verfügen, die oft für verschiedene Zwecke genutzt werden. Dies schließt auch ältere, aus Unternehmenszusammenschlüssen und -übernahmen stammende Infrastrukturen, die geografische Verteilung und Sicherheitsbegrenzungen (Red Forests) ein.Enterprise organizations typically have several Active Directory forests - often used for different purposes, including legacy infrastructure from corporate mergers and acquisitions, geographical distribution, and security boundaries (red-forests). Sie können mehrere Gesamtstrukturen mit Azure ATP schützen, um die Überwachung und Untersuchungen Ihres gesamten Netzwerks über eine zentrale Konsole auszuführen.You can protect multiple forests using Azure ATP, providing you with the ability to monitor and investigate your entire network through a single pane of glass.

Die Möglichkeit, mehrere Active Directory-Gesamtstrukturen zu unterstützen, bietet folgende Vorteile:The ability to support multiple Active Directory forests enables the following:

  • Sie können Aktivitäten, die von Benutzern in mehreren Gesamtstrukturen ausgeführt werden, in einer zentralen Konsole im Blick behalten und untersuchen.View and investigate activities performed by users across multiple forests, from a single pane of glass.
  • Durch erweiterte Active Directory-Integration und -Kontoauflösung lassen sich falsch positive Ergebnisse besser erkennen und reduzieren.Improved detection and reduced false positives by providing advanced Active Directory integration and account resolution.
  • Sie ermöglicht eine bessere Kontrolle und eine einfachere Bereitstellung.Greater control and easier deployment. Die Überwachung von Warnungen und Berichterstellung für die organisationsübergreifende Abdeckung wurde verbessert, wenn all Ihre Domänencontroller über eine einzelne Azure ATP-Konsole überwacht werden.Improved monitoring alerts and reporting for cross-org coverage when your domain controllers are all monitored from a single Azure ATP console.

Erkennung von Aktivitäten in mehreren Gesamtstrukturen durch Azure ATPAzure ATP detection activity across multiple forests

Zum Erkennen von Aktivitäten, die mehrere Gesamtstrukturen umfassen, fragen Azure ATP-Sensoren Domänencontroller in Remotegesamtstrukturen ab, um Profile für alle beteiligten Entitäten zu erstellen, z.B. Benutzer und Computer aus Remotegesamtstrukturen.To detect cross-forest activities, Azure ATP sensors query domain controllers in remote forests to create profiles for all entities involved, (including users and computers from remote forests).

  • Azure ATP-Sensoren können in allen Gesamtstrukturen, sogar Gesamtstrukturen ohne Vertrauensstellung, installiert werden.Azure ATP sensors can be installed on all forests, even forests with no trust.
  • Sie können Anmeldeinformationen für alle Gesamtstrukturen in Ihrer Umgebung zur Seite „Verzeichnisdienste“ hinzufügen.Add credentials on the Directory services page for all forests in your environment.
    • Für jede Gesamtstruktur mit bidirektionaler Vertrauensstellung ist ein Satz von Anmeldeinformationen (Benutzername und Kennwort) erforderlich.One credential is required per forest with two-way trust.
    • Für jede Gesamtstruktur mit Vertrauensstellung ohne Kerberos oder fehlender Vertrauensstellung sind zusätzliche Anmeldeinformationen erforderlich.Additional credentials are required for each forest with non-Kerberos trust or no trust.
    • Es gilt ein Limit von 10 Gesamtstrukturen pro Azure ATP-Instanz.Limit of 10 forests per Azure ATP instance. Wenden Sie sich an den Support, wenn Ihre Organisation über mehr als 10 Gesamtstrukturen verfügt.Contact support if your organization has more than 10 forests.

Azure ATP-Willkommensseite 1

AnforderungenRequirements

  • Der Benutzer, den Sie in der Azure ATP-Konsole unter Verzeichnisdienste konfigurieren, muss in allen anderen Gesamtstrukturen vertrauenswürdig sein und mindestens über Leseberechtigungen verfügen, um LDAP-Abfragen der Domänencontroller auszuführen.The user you configure in the Azure ATP console under Directory services must be trusted in all the other forests and must have at least read-only permission to perform LDAP queries on the domain controllers.

  • Wenn eigenständige Azure ATP-Sensoren auf eigenständigen Computern und nicht direkt auf den Domänencontrollern installiert sind, stellen Sie sicher, dass die Kommunikation der Computer mit allen Domänencontrollern der Remotegesamtstrukturen über LDAP zulässig ist.If Azure ATP standalone sensors are installed on standalone machines, rather than directly on the domain controllers, make sure the machines are allowed to communicate with all of remote forest domain controllers using LDAP.

  • Damit Azure ATP mit den Azure ATP-Sensoren und eigenständigen Azure ATP-Sensoren kommunizieren kann, öffnen Sie die folgenden Ports auf jedem Computer mit installiertem Azure ATP-Sensor:In order for Azure ATP to communicate with the Azure ATP sensors and Azure ATP standalone sensors, open the following ports on each machine on which the Azure ATP sensor is installed:

    ProtokollProtocol TransportTransport PortPort Zu/VonTo/From RichtungDirection
    InternetportsInternet ports
    SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Azure ATP-ClouddienstAzure ATP cloud service AusgehendOutbound
    Interne PortsInternal ports
    LDAPLDAP TCP und UDPTCP and UDP 389389 DomänencontrollerDomain controllers AusgehendOutbound
    Sicheres LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 DomänencontrollerDomain controllers AusgehendOutbound
    LDAP an globalen KatalogLDAP to Global Catalog TCPTCP 32683268 DomänencontrollerDomain controllers AusgehendOutbound
    LDAPs an globalen KatalogLDAPS to Global Catalog TCPTCP 32693269 DomänencontrollerDomain controllers AusgehendOutbound

Auswirkungen auf den Netzwerkdatenverkehr bei der Unterstützung mehrerer GesamtstrukturenMulti-forest support network traffic impact

Der Prozess des Zuordnens von Gesamtstrukturen durch Azure ATP hat folgende Auswirkungen:When Azure ATP maps your forests, it uses a process that impacts the following:

  • Sobald der Azure ATP-Sensor ausgeführt wird, fragt er die Active Directory-Gesamtstrukturen am Remotestandort ab und ruft eine Liste von Benutzern und Computerdaten für die Profilerstellung ab.After the Azure ATP sensor is running, it queries the remote Active Directory forests and retrieves a list of users and machine data for profile creation.
  • Alle 5 Minuten fragt jeder Azure ATP-Sensor einen Domänencontroller aus jeder Domäne in jeder Gesamtstruktur ab, um alle Gesamtstrukturen im Netzwerk zuzuordnen.Every 5 minutes, each Azure ATP sensor queries one domain controller from each domain, from each forest, to map all the forests in the network.
  • Jeder Azure ATP-Sensor ordnet die Gesamtstrukturen mithilfe des Objekts „trustedDomain“ in Active Directory zu, indem er sich anmeldet und den Vertrauenstyp überprüft.Each Azure ATP sensor maps the forests using the “trustedDomain” object in Active Directory, by logging in and checking the trust type.
  • Sie können auch Ad-hoc-Datenverkehr anzeigen, wenn der Azure ATP-Sensor Aktivitäten zwischen Gesamtstrukturen erkennt.You may also see ad-hoc traffic when the Azure ATP sensor detects cross forest activity. In diesem Fall senden die Azure ATP-Sensoren eine LDAP-Abfrage an die entsprechenden Domänencontroller, um Entitätsinformationen abzurufen.When this occurs, the Azure ATP sensors will send an LDAP query to the relevant domain controllers in order to retrieve entity information.

Bekannte EinschränkungenKnown limitations

  • Interaktive Anmeldungen, die von Benutzern in einer Gesamtstruktur durchgeführt werden, um auf Ressourcen in einer anderen Gesamtstruktur zuzugreifen, werden nicht im Azure ATP-Dashboard angezeigt.Interactive logons performed by users in one forest to access resources in another forest are not displayed in the Azure ATP dashboard.

Weitere InformationenSee Also