Advanced Threat Analytics (ATA) do Microsoft Defenderu for Identity

Tento článek popisuje, jak migrovat z existující instalace ATA na senzor identity v programu Microsoft Defender for Identity a zahrnuje následující kroky:

• Kontrola a potvrzení požadavků služby Defender for Identity
• Zdokumentujte stávající konfiguraci ATA.
• Naplánujte si migraci
• Nastavení a konfigurace služby Defender for Identity
• Provádění kontrol a ověření po migraci
• Vyřazení ATA z provozu

ATA je samostatné místní řešení s několika komponentami, jako je ATA Center, které vyžaduje vyhrazený hardware místně.

Defender for Identity je cloudové řešení zabezpečení, které používá vaše místní Active Directory signály. Řešení je vysoce škálovatelné a často se aktualizuje.

Na rozdíl od senzoru ATA používá senzor defenderu pro identitu také zdroje dat, jako je trasování událostí pro Windows (ETW), které defender for Identity umožňuje poskytovat další detekce. Defender for Identity také poskytuje:

• Podpora prostředí s více doménovými strukturami
• Hodnocení stavu skóre zabezpečení Microsoftu
• Možnosti UEBA
• Přímá integrace s dalšími službami, jako je Microsoft Defender for Cloud Apps a Microsoft Entra, pro hybridní zobrazení toho, co se děje v místním i hybridním prostředí
• A další

Defender for Identity také používá portfolio zabezpečení Microsoftu 365 k automatické analýze dat hrozeb mezi doménovými daty a vytváří kompletní obrázek každého útoku na jednom řídicím panelu.

Důležité

Tato příručka pro migraci je určená jenom pro senzory Defenderu for Identity, a ne pro samostatné senzory.

I když můžete migrovat na Defender for Identity z jakékoli verze ATA, data ATA se nemigrují. Proto doporučujeme, abyste měli v úmyslu zachovat data Center ATA a všechna upozornění požadovaná pro probíhající šetření, dokud se nezavře nebo nenapraví všechna upozornění ATA.

Poznámka:

Konečná verze ATA je obecně dostupná. ATA ukončila hlavní podporu 12. ledna 2021. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete v našem blogu.

Požadavky

Pokud chcete migrovat z ATA na Defender for Identity, musíte mít prostředí a řadiče domény, které splňují požadavky senzoru identity v programu Defender for Identity. Další informace najdete v tématu Požadavky microsoft Defenderu pro identitu.

Ujistěte se, že všechny řadiče domény, které plánujete používat, mají dostatečný přístup k internetu ke službě Defender for Identity. Další informace najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.

Naplánujte si migraci

Před zahájením migrace shromážděte všechny následující informace:

• Podrobnosti o účtu adresářové služby

• Nastavení oznámení syslogu.

• Podrobnosti e-mailových oznámení

• Všechna členství ve skupině rolí ATA.

• Podrobnosti o integraci sítě VPN.

• Vyloučení výstrah. Vyloučení nejsou přenosná z ATA do Defenderu for Identity, takže podrobnosti o každém vyloučení se vyžadují k replikaci vyloučení jako Defender for Identity v XDR v programu Microsoft Defender.

• Podrobnosti o účtu pro značky entit Pokud ještě nemáte vyhrazené značky entit, vytvořte nové značky pro použití s defenderem for Identity. Další informace naleznete v tématu Defender for Identity entity tags in Microsoft Defender XDR.

• Úplný seznam všech entit, jako jsou počítače, skupiny nebo uživatelé, které chcete ručně označit jako citlivé entity. Další informace naleznete v tématu Defender for Identity entity tags in Microsoft Defender XDR.

• Podrobnosti plánování sestav, včetně seznamu všech sestav a naplánovaného načasování

Upozornění

Neodinstalujte ATA Center, dokud se neodeberou všechny komponenty ATA Gateway. Odinstalace ATA Center pomocí ATA Gateway stále běží, zůstane vaše organizace vystavená bez ochrany před hrozbami.

Přechod na Defender for Identity

Pomocí následujících kroků proveďte migraci do defenderu for Identity:

1. Vytvořte nový pracovní prostor Defenderu for Identity.

2. Odinstalujte ATA Lightweight Gateway na všech řadičích domény.

3. Nainstalujte senzor identity Defender for Identity na všechny řadiče domény:

   1. Stáhněte si soubory senzorů Defenderu for Identity a získejte přístupový klíč.

   2. Nainstalujte senzory Defenderu for Identity na řadiče domény.

4. Nakonfigurujte senzor služby Defender for Identity.

Po dokončení migrace počkejte dvě hodiny, než se počáteční synchronizace dokončí, než se přesune s úlohami ověření.

Ověření migrace

V XDR v programu Microsoft Defender zkontrolujte následující oblasti a ověřte migraci:

• Zkontrolujte případné problémy se stavem a zkontrolujte známky problémů se službou.
• Zkontrolujte protokoly chyb senzoru identity v programu Defender for Identity a zkontrolujte případné neobvyklé chyby.

Aktivity po migraci

Po dokončení migrace do Defenderu for Identity vyčistíte starší prostředky ATA následujícím postupem:

1. Ujistěte se, že jste zaznamenali nebo opravili všechny existující výstrahy ATA. Existující výstrahy zabezpečení ATA se při migraci neimportují do Defenderu for Identity.

2. Udělejte jednu nebo obě z těchto věcí:

   • Vyřazení ATA Center z provozu Doporučujeme uchovávat data ATA online po určitou dobu.
   • Pokud chcete zachovat data ATA po neomezenou dobu, zálohujte databázi Mongo DB . Další informace najdete v tématu Zálohování databáze ATA.

Související informace

Po migraci na Defender for Identity se dozvíte další informace o vyšetřování výstrah v XDR v programu Microsoft Defender. Další informace naleznete v tématu:

• Principy výstrah zabezpečení
• Prozkoumání výstrah zabezpečení služby Defender for Identity v XDR v programu Microsoft Defender