Azure Gelişmiş tehdit koruması çoklu orman desteğiAzure Advanced Threat Protection multi-forest support

Çok ormanlı destek kurulumuMulti-forest support set up

Azure ATP, birden çok ormanlı kuruluşları destekler ve bu sayede, ormanlar genelinde etkinlik ve profil kullanıcılarını kolayca izlemenize olanak sağlar.Azure ATP supports organizations with multiple forests, giving you the ability to easily monitor activity and profile users across forests.

Kurumsal kuruluşların genellikle çeşitli Active Directory ormanları vardır. Kurumsal birleşmeler ve alımlar, coğrafi dağıtım ve güvenlik sınırları (kırmızı ormanlar) dahil olmak üzere, genellikle farklı amaçlar için kullanılır.Enterprise organizations typically have several Active Directory forests - often used for different purposes, including legacy infrastructure from corporate mergers and acquisitions, geographical distribution, and security boundaries (red-forests). Azure ATP 'yi kullanarak birden çok ormanı koruyabilir ve bu, tüm ağınızı tek bir cam bölmeden izlemenize ve araştırmanıza olanak sağlar.You can protect multiple forests using Azure ATP, providing you with the ability to monitor and investigate your entire network through a single pane of glass.

Birden çok Active Directory ormanı destekleme özelliği şunları sağlar:The ability to support multiple Active Directory forests enables the following:

  • Tek bir cam bölmeden birden çok ormanda bulunan kullanıcılar tarafından gerçekleştirilen etkinlikleri görüntüleyin ve araştırın.View and investigate activities performed by users across multiple forests, from a single pane of glass.
  • Gelişmiş Active Directory tümleştirme ve hesap çözümlemesi sağlayarak geliştirilmiş algılama ve hatalı pozitif sonuçlar azalır.Improved detection and reduced false positives by providing advanced Active Directory integration and account resolution.
  • Daha fazla denetim ve daha kolay dağıtım.Greater control and easier deployment. Etki alanı denetleyicileriniz tek bir Azure ATP konsolundan izlendiğinde, şirketler arası kapsama yönelik izleme uyarıları ve raporlama geliştirildi.Improved monitoring alerts and reporting for cross-org coverage when your domain controllers are all monitored from a single Azure ATP console.

Birden çok orman genelinde Azure ATP algılama etkinliğiAzure ATP detection activity across multiple forests

Ormanlar arası etkinlikleri algılamak için, Azure ATP algılayıcıları, uzak ormanlardaki etki alanı denetleyicilerini, (uzak ormanlardan kullanıcılar ve bilgisayarlar dahil) dahil olmak üzere tüm varlıklar için profil oluşturmak üzere sorgular.To detect cross-forest activities, Azure ATP sensors query domain controllers in remote forests to create profiles for all entities involved, (including users and computers from remote forests).

  • Azure ATP sensörleri tüm ormanlarda, hatta güvenmesiz ormanlar üzerinde yüklenebilir.Azure ATP sensors can be installed on all forests, even forests with no trust.
  • Ortamınızdaki tüm ormanlar için Dizin Hizmetleri sayfasında kimlik bilgilerini ekleyin.Add credentials on the Directory services page for all forests in your environment.
    • İki yönlü güvenle orman başına bir kimlik bilgisi gerekir.One credential is required per forest with two-way trust.
    • Her orman için Kerberos olmayan güvenle veya güven olmadan ek kimlik bilgileri gerekir.Additional credentials are required for each forest with non-Kerberos trust or no trust.
    • Azure ATP örneği başına 10 orman sınırı.Limit of 10 forests per Azure ATP instance. Kuruluşunuzda 10 ' dan fazla orman varsa desteğe başvurun.Contact support if your organization has more than 10 forests.

Azure ATP hoş geldiniz aşaması 1

GereksinimlerRequirements

  • Dizin Hizmetleri altında Azure ATP konsolunda yapılandırdığınız Kullanıcı, diğer tüm ormanlarda güvenilir olmalıdır ve etki alanı denetleyicilerinde LDAP sorguları gerçekleştirmek için en azından salt okuma iznine sahip olmalıdır.The user you configure in the Azure ATP console under Directory services must be trusted in all the other forests and must have at least read-only permission to perform LDAP queries on the domain controllers.

  • Azure ATP tek başına algılayıcı, doğrudan etki alanı denetleyicilerine değil, tek başına makinelerde yüklüyse, makinelerin LDAP kullanarak uzak orman etki alanı denetleyicileri ile iletişim kurmasına izin verildiğinden emin olun.If Azure ATP standalone sensors are installed on standalone machines, rather than directly on the domain controllers, make sure the machines are allowed to communicate with all of remote forest domain controllers using LDAP.

  • Azure ATP 'nin Azure ATP sensörlerinden ve Azure ATP tek başına algılayıcılarla iletişim kurması için, Azure ATP algılayıcısı 'nın yüklü olduğu her makinede aşağıdaki bağlantı noktalarını açın:In order for Azure ATP to communicate with the Azure ATP sensors and Azure ATP standalone sensors, open the following ports on each machine on which the Azure ATP sensor is installed:

    ProtokolProtocol AktarmaTransport Bağlantı NoktasıPort Hedef/KaynakTo/From YönDirection
    Internet bağlantı noktalarıInternet ports
    SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Azure ATP bulut hizmetiAzure ATP cloud service GidenOutbound
    İç bağlantı noktalarıInternal ports
    LDAPLDAP TCP ve UDPTCP and UDP 389389 Etki alanı denetleyicileriDomain controllers GidenOutbound
    Güvenli LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Etki alanı denetleyicileriDomain controllers GidenOutbound
    LDAP - Genel KatalogLDAP to Global Catalog TCPTCP 32683268 Etki alanı denetleyicileriDomain controllers GidenOutbound
    LDAPS - Genel KatalogLDAPS to Global Catalog TCPTCP 32693269 Etki alanı denetleyicileriDomain controllers GidenOutbound

Çok ormanlı destek ağ trafiği etkisiMulti-forest support network traffic impact

Azure ATP ormanlarınızı eşleştirdiğinde, aşağıdakileri etkileyen bir işlem kullanır:When Azure ATP maps your forests, it uses a process that impacts the following:

  • Azure ATP algılayıcısı çalıştıktan sonra, uzak Active Directory ormanları sorgular ve profil oluşturma için Kullanıcı ve makine verilerinin bir listesini alır.After the Azure ATP sensor is running, it queries the remote Active Directory forests and retrieves a list of users and machine data for profile creation.
  • Her bir Azure ATP algılayıcısı 5 dakikada bir etki alanı denetleyicisini her ormandan, ağdaki tüm ormanları eşlemek üzere sorgular.Every 5 minutes, each Azure ATP sensor queries one domain controller from each domain, from each forest, to map all the forests in the network.
  • Her Azure ATP algılayıcısı, ' de oturum açarak ve güven türünü denetleyerek, Active Directory içindeki "trustedDomain" nesnesini kullanarak ormanları eşler.Each Azure ATP sensor maps the forests using the “trustedDomain” object in Active Directory, by logging in and checking the trust type.
  • Azure ATP algılayıcısı ormanlar arası etkinliği algıladığında, geçici trafik da görebilirsiniz.You may also see ad-hoc traffic when the Azure ATP sensor detects cross forest activity. Bu durumda, Azure ATP algılayıcıları varlık bilgilerini almak için ilgili etki alanı denetleyicilerine bir LDAP sorgusu gönderir.When this occurs, the Azure ATP sensors will send an LDAP query to the relevant domain controllers in order to retrieve entity information.

Bilinen sınırlamalarKnown limitations

  • Başka bir ormandaki kaynaklara erişmek için bir ormandaki kullanıcılar tarafından gerçekleştirilen etkileşimli oturum açmalar, Azure ATP panosunda gösterilmez.Interactive logons performed by users in one forest to access resources in another forest are not displayed in the Azure ATP dashboard.

Ayrıca bkz:See Also