Azure Advanced Threat Protection-Unterstützung für mehrere GesamtstrukturenAzure Advanced Threat Protection multi-forest support

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

Einrichten der Unterstützung für mehrere GesamtstrukturenMulti-forest support set up

Azure ATP unterstützt Organisationen mit mehreren Gesamtstrukturen, wodurch diese die Möglichkeit erhalten, Aktivitäten und Benutzerprofile in allen Gesamtstrukturen ganz einfach zu überwachen.Azure ATP supports organizations with multiple forests, giving you the ability to easily monitor activity and profile users across forests.

Unternehmensorganisationen können in der Regel über mehrere Active Directory-Gesamtstrukturen verfügen, die oft für verschiedene Zwecke genutzt werden. Dies schließt auch ältere, aus Unternehmenszusammenschlüssen und -übernahmen stammende Infrastrukturen, die geografische Verteilung und Sicherheitsbegrenzungen (Red Forests) ein.Enterprise organizations typically have several Active Directory forests - often used for different purposes, including legacy infrastructure from corporate mergers and acquisitions, geographical distribution, and security boundaries (red-forests). Sie können mehrere Gesamtstrukturen mit Azure ATP schützen, um die Überwachung und Untersuchungen Ihres gesamten Netzwerks über eine zentrale Konsole auszuführen.You can protect multiple forests using Azure ATP, providing you with the ability to monitor and investigate your entire network through a single pane of glass.

Die Möglichkeit, mehrere Active Directory-Gesamtstrukturen zu unterstützen, bietet folgende Vorteile:The ability to support multiple Active Directory forests enables the following:

  • Sie können Aktivitäten, die von Benutzern in mehreren Gesamtstrukturen ausgeführt werden, in einer zentralen Konsole im Blick behalten und untersuchen.View and investigate activities performed by users across multiple forests, from a single pane of glass.
  • Durch erweiterte Active Directory-Integration und -Kontoauflösung lassen sich falsch positive Ergebnisse besser erkennen und reduzieren.Improved detection and reduced false positives by providing advanced Active Directory integration and account resolution.
  • Sie ermöglicht eine bessere Kontrolle und eine einfachere Bereitstellung.Greater control and easier deployment. Verbesserte Integritäts Warnungen und Berichterstellung für die übergreifende Abdeckung, wenn alle Domänen Controller über eine einzige Azure ATP Konsole überwacht werden.Improved health alerts and reporting for cross-org coverage when your domain controllers are all monitored from a single Azure ATP console.

Erkennung von Aktivitäten in mehreren Gesamtstrukturen durch Azure ATPAzure ATP detection activity across multiple forests

Zum Erkennen von Aktivitäten, die mehrere Gesamtstrukturen umfassen, fragen Azure ATP-Sensoren Domänencontroller in Remotegesamtstrukturen ab, um Profile für alle beteiligten Entitäten zu erstellen, z.B. Benutzer und Computer aus Remotegesamtstrukturen.To detect cross-forest activities, Azure ATP sensors query domain controllers in remote forests to create profiles for all entities involved, (including users and computers from remote forests).

  • Azure ATP Sensoren können auf Domänen Controllern in allen Gesamtstrukturen installiert werden, sogar Gesamtstrukturen ohne Vertrauensstellung.Azure ATP sensors can be installed on domain controllers in all forests, even forests with no trust.
  • Fügen Sie auf der Seite Verzeichnisdienste zusätzliche Anmelde Informationen hinzu, um nicht vertrauenswürdige Gesamtstrukturen in Ihrer Umgebung zu unterstützen.Add additional credentials on the Directory services page to support any untrusted forests in your environment.
    • Es ist nur eine Anmelde Information erforderlich, um alle Gesamtstrukturen mit einer bidirektionalen Vertrauensstellung zu unterstützen.Only one credential is required to support all forests with a two-way trust.
    • Zusätzliche Anmelde Informationen sind nur für jede Gesamtstruktur mit nicht-Kerberos-Vertrauensstellung oder keine Vertrauensstellung erforderlich.Additional credentials are only required for each forest with non-Kerberos trust or no trust.
    • Es gibt ein Standard Limit von 10 nicht vertrauenswürdigen Gesamtstrukturen pro Azure ATP Instanz.There is a default limit of 10 untrusted forests per Azure ATP instance. Wenden Sie sich an den Support, wenn Ihre Organisation über mehr als 10 Gesamtstrukturen verfügt.Contact support if your organization has more than 10 forests.

Azure ATP-Willkommensseite 1

AnforderungenRequirements

  • Der Benutzer, den Sie in der Azure ATP-Konsole unter Verzeichnisdienste konfigurieren, muss in allen anderen Gesamtstrukturen vertrauenswürdig sein und mindestens über Leseberechtigungen verfügen, um LDAP-Abfragen der Domänencontroller auszuführen.The user you configure in the Azure ATP console under Directory services must be trusted in all the other forests and must have at least read-only permission to perform LDAP queries on the domain controllers.

  • Wenn eigenständige Azure ATP-Sensoren auf eigenständigen Computern und nicht direkt auf den Domänencontrollern installiert sind, stellen Sie sicher, dass die Kommunikation der Computer mit allen Domänencontrollern der Remotegesamtstrukturen über LDAP zulässig ist.If Azure ATP standalone sensors are installed on standalone machines, rather than directly on the domain controllers, make sure the machines are allowed to communicate with all of remote forest domain controllers using LDAP.

  • Damit Azure ATP mit den Azure ATP-Sensoren und eigenständigen Azure ATP-Sensoren kommunizieren kann, öffnen Sie die folgenden Ports auf jedem Computer mit installiertem Azure ATP-Sensor:In order for Azure ATP to communicate with the Azure ATP sensors and Azure ATP standalone sensors, open the following ports on each machine on which the Azure ATP sensor is installed:

    ProtokollProtocol TransportTransport PortPort Zu/VonTo/From RichtungDirection
    InternetportsInternet ports
    SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Azure ATP-ClouddienstAzure ATP cloud service AusgehendOutbound
    Interne PortsInternal ports
    LDAPLDAP TCP und UDPTCP and UDP 389389 DomänencontrollerDomain controllers AusgehendOutbound
    Sicheres LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 DomänencontrollerDomain controllers AusgehendOutbound
    LDAP an globalen KatalogLDAP to Global Catalog TCPTCP 32683268 DomänencontrollerDomain controllers AusgehendOutbound
    LDAPs an globalen KatalogLDAPS to Global Catalog TCPTCP 32693269 DomänencontrollerDomain controllers AusgehendOutbound

Auswirkungen auf den Netzwerkdatenverkehr bei der Unterstützung mehrerer GesamtstrukturenMulti-forest support network traffic impact

Der Prozess des Zuordnens von Gesamtstrukturen durch Azure ATP hat folgende Auswirkungen:When Azure ATP maps your forests, it uses a process that impacts the following:

  • Sobald der Azure ATP-Sensor ausgeführt wird, fragt er die Active Directory-Gesamtstrukturen am Remotestandort ab und ruft eine Liste von Benutzern und Computerdaten für die Profilerstellung ab.After the Azure ATP sensor is running, it queries the remote Active Directory forests and retrieves a list of users and machine data for profile creation.
  • Alle 5 Minuten fragt jeder Azure ATP-Sensor einen Domänencontroller aus jeder Domäne in jeder Gesamtstruktur ab, um alle Gesamtstrukturen im Netzwerk zuzuordnen.Every 5 minutes, each Azure ATP sensor queries one domain controller from each domain, from each forest, to map all the forests in the network.
  • Jeder Azure ATP-Sensor ordnet die Gesamtstrukturen mithilfe des Objekts „trustedDomain“ in Active Directory zu, indem er sich anmeldet und den Vertrauenstyp überprüft.Each Azure ATP sensor maps the forests using the “trustedDomain” object in Active Directory, by logging in and checking the trust type.
  • Sie können auch Ad-hoc-Datenverkehr anzeigen, wenn der Azure ATP-Sensor Aktivitäten zwischen Gesamtstrukturen erkennt.You may also see ad-hoc traffic when the Azure ATP sensor detects cross forest activity. In diesem Fall senden die Azure ATP-Sensoren eine LDAP-Abfrage an die entsprechenden Domänencontroller, um Entitätsinformationen abzurufen.When this occurs, the Azure ATP sensors will send an LDAP query to the relevant domain controllers in order to retrieve entity information.

Bekannte EinschränkungenKnown limitations

  • Interaktive Anmeldungen, die von Benutzern in einer Gesamtstruktur durchgeführt werden, um auf Ressourcen in einer anderen Gesamtstruktur zuzugreifen, werden nicht im Azure ATP-Dashboard angezeigt.Interactive logons performed by users in one forest to access resources in another forest are not displayed in the Azure ATP dashboard.

Weitere InformationenSee Also