Advanced Threat Analytics (ATA) zum Microsoft Defender for Identity

Hinweis

Die endgültige Version von ATA ist allgemein verfügbar. ATA beendete den Mainstream-Support am 12. Januar 2021. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie im Blog.

Verwenden Sie diesen Leitfaden, um von einer vorhandenen ATA-Installation in den (Microsoft Defender for Identity)-Dienst zu wechseln. Der Leitfaden erläutert Defender for Identity-Voraussetzungen und -Anforderungen und erläutert, wie Sie Ihre Bewegung planen und dann abschließen. Überprüfungsschritte und Tipps zum Nutzen der neuesten Bedrohungsschutz- und Sicherheitslösungen mit Defender for Identity nach der Installation sind ebenfalls enthalten.

Weitere Informationen zu den Unterschieden zwischen ATA und Defender for Identity finden Sie in den häufig gestellten Fragen zu Defender for Identity.

In dieser Anleitung lernen Sie Folgendes:

  • Überprüfen und Bestätigen der Voraussetzungen für Defender for Identity Service
  • Dokumentieren Ihrer vorhandenen ATA-Konfiguration
  • Planen des Verschiebevorgangs
  • Einrichten und Konfigurieren Ihres Defender for Identity-Diensts
  • Ausführen von Überprüfungen nach dem Verschiebevorgang
  • Außer Betrieb nehmen von ATA nach dem Verschieben

Hinweis

Das Wechseln zu Defender for Identity von ATA ist von jeder ATA-Version möglich. Da Daten jedoch nicht von ATA in Defender for Identity verschoben werden können, empfiehlt es sich, Ihre ATA Center-Daten und Warnungen für laufende Untersuchungen beizubehalten, bis alle ATA-Warnungen geschlossen oder behoben werden.

Voraussetzungen

  • Ein Azure Active Directory-Mandant mit mindestens einem globalen/Sicherheitsadministrator ist erforderlich, um eine Defender for Identity-Instanz zu erstellen. Jede Defender for Identity-Instanz unterstützt mehrere Active Directory-Gesamtstrukturbegrenzungen und die Gesamtstrukturfunktionsebene (Forest Functional Level, FFL) von Windows 2003 und höher.

  • Defender for Identity erfordert .Net Framework 4.7 oder höher und erfordert möglicherweise einen Domänencontroller neustarten, wenn Ihre aktuelle .Net Framework-Version nicht 4.7 oder höher ist.

  • Stellen Sie sicher, dass Ihre Domänencontroller alle Anforderungen des Defender for Identity-Sensors erfüllen, und Ihre Umgebung erfüllt alle Defender for Identity-Anforderungen.

  • Überprüfen Sie, ob alle Domänencontroller, die Sie verwenden möchten, über genügend Internetzugriff auf den Defender for Identity-Dienst verfügen. Überprüfen und bestätigen Sie, dass Ihre Domänencontroller die Anforderungen für die Defender for Identity-Proxykonfiguration erfüllen.

Hinweis

Dieser Migrationshandbuch ist nur für Defender for Identity-Sensoren konzipiert.

Plan

Stellen Sie sicher, dass Sie die folgenden Informationen gesichert haben, bevor Sie mit dem Verschieben beginnen:

  1. Kontodetails für Ihr Verzeichnisdienste-Konto
  2. Einstellungen für Syslog-Benachrichtigungen
  3. E-Mail-Benachrichtigungsdetails
  4. Gruppenmitgliedschaft für ATA-Rollen
  5. VPN-Integration
  6. Warnungsausschlüsse
    • Ausschlüsse können nicht von ATA in Defender for Identity übertragen werden, sodass Details zu jedem Ausschluss erforderlich sind, um die Ausschlüsse in Defender for Identity zu replizieren.
  7. Kontodetails für Honigtokenkonten.
    • Wenn Sie noch nicht über dedizierte Honigtokenkonten verfügen, erfahren Sie mehr über Honigtokens in Defender for Identity und erstellen Sie neue Konten, die für diesen Zweck verwendet werden sollen.
  8. Eine vollständige Liste aller Entitäten (Computer, Gruppen, Benutzer), die Sie manuell als „sensible Entitäten“ kennzeichnen möchten
  9. Details der Berichtsplanung (Liste der Berichte und geplante zeitliche Steuerung)

Hinweis

Deinstallieren Sie ATA Center erst, nachdem alle ATA-Gateways entfernt wurden. Wenn ATA Center deinstalliert wird, während ATA-Gateways noch ausgeführt werden, ist Ihre Organisation nicht mehr vor Bedrohungen geschützt.

Verschieben

Führen Sie ihren Wechsel zu Defender for Identity in zwei einfachen Schritten aus:

Schritt 1: Erstellen und Installieren von Defender für Identitätsinstanzen und Sensoren

  1. Erstellen Ihrer neuen Defender for Identity-Instanz

  2. Deinstallieren Sie das ATA-Lightweight-Gateways auf allen Domänencontrollern.

  3. Installieren Sie den Defender for Identity Sensor auf allen Domänencontrollern:

Schritt 2: Konfigurieren und Überprüfen von Defender for Identity-Instanz

Hinweis

Bestimmte Aufgaben in der folgenden Liste können nicht abgeschlossen werden, bevor Defender für Identitätssensoren installiert und dann eine anfängliche Synchronisierung abgeschlossen wird, z. B. das Auswählen von Entitäten für manuelles Vertrauliches Tagging. Die erste Synchronisierung kann bis zu 2 Stunden dauern.

Überprüfen

Im Microsoft 365 Defender-Portal:

Nach dem Verschieben

In diesem Abschnitt der Anleitung wird erläutert, welche Aktionen nach dem Verschieben ausgeführt werden können.

Hinweis

Der Import vorhandener Sicherheitswarnungen von ATA in Defender for Identity wird nicht unterstützt. Stellen Sie sicher, dass Sie alle vorhandenen ATA-Warnungen aufgezeichnet oder behoben haben, bevor Sie ATA Center außer Betrieb setzen.

  • ATA Center außer Betrieb nehmen

    • Es empfiehlt sich, die ATA Center-Daten noch für eine gewisse Zeit online zu speichern, um sie nach dem Verschieben zu referenzieren. Nach der Außerbetriebnahme von ATA Center hat sich die Anzahl der Ressourcen in der Regel verringert, besonders, wenn es sich dabei um virtuelle Computer handelt.
  • Sichern von Mongo DB

Mission erfüllt.

Gratulation! Ihr Wechsel von ATA zu Defender for Identity ist abgeschlossen.

Nächste Schritte

Erfahren Sie mehr über Defender for Identity-Features , Funktionen und Sicherheitswarnungen.

Beitritt zur Community

Haben Sie weitere Fragen oder möchten Sie mit anderen über Defender for Identity und damit verbundene Sicherheitsaspekte diskutieren? Treten Sie noch heute der Defender for Identity-Community bei!