Advanced Threat Analytics (ATA) a Microsoft Defender for Identity
En este artículo se describe cómo migrar desde una instalación de ATA existente a un sensor de Microsoft Defender for Identity e incluye los pasos siguientes:
- Revise y confirme los requisitos previos del servicio de Defender for Identity
- Documentar la configuración de ATA existente
- Planeamiento de la migración
- Instalación y configuración del servicio de Defender for Identity
- Realizar comprobaciones y verificaciones posteriores a la migración
- Fecha de retirada ATA
ATA es una solución local independiente con varios componentes, como el Centro ATA que requiere hardware dedicado local.
Defender for Identity es una solución de seguridad basada en la nube que usa las señales de Active Directory local. La solución es altamente escalable y se actualiza con frecuencia.
A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite a Defender for Identity entregar detecciones adicionales. Defender for Identity también proporciona:
- Compatibilidad con entornos de varios bosques
- Evaluaciones de la posición de puntuación de Microsoft Secure
- Funcionalidades UEBA
- Integraciones directas con otros servicios como Microsoft Defender for Cloud Apps y Microsoft Entra para obtener una vista híbrida de lo que ocurre en entornos locales e híbridos
- Y mucho más
Defender for Identity también usa la cartera de seguridad de Microsoft 365 para analizar automáticamente los datos de amenazas entre dominios, lo que ofrece una imagen completa de cada ataque en un solo panel.
Importante
Esta guía de migración está diseñada solo para sensores de Defender for Identity y no para sensores independientes.
Aunque puede migrar a Defender for Identity desde cualquier versión de ATA, los datos de ATA no se migran. Por lo tanto, se recomienda que planee conservar el Centro de datos de ATA y las alertas necesarias para las investigaciones en curso hasta que se cierren o corrijan todas las alertas de ATA.
Nota:
La versión final de ATA está generalmente disponible. El soporte estándar de ATA finalizó el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Si desea obtener más información, lea nuestra entrada de blog.
Requisitos previos
Para migrar de ATA a Defender for Identity, debe tener un entorno y controladores de dominio que cumplan los requisitos del sensor de Defender for Identity. Consulte Requisitos previos de Microsoft Defender for Identity para obtener más información.
Asegúrese de que todos los controladores de dominio que planea usar tengan acceso suficiente a Internet para utilizar el servicio Defender for Identity. Para más información, consulte Configurar el proxy del punto de conexión y la conectividad de Internet.
Planeamiento de la migración
Antes de iniciar la migración, recopile toda la información siguiente:
Detalles de la cuenta para la cuenta de Servicios de directorio.
Configuraciones de notificaciones de Syslog.
Detalles de notificación por correo electrónico.
Exclusiones de alertas. Las exclusiones no se pueden transferir de ATA a Defender for Identity, por lo que se requieren detalles de cada exclusión para replicar las exclusiones como Defender for Identity en Microsoft Defender XDR.
Detalles de la cuenta para las etiquetas de entidad. Si aún no tiene etiquetas de entidad dedicadas, cree otras nuevas para usarlas con Defender for Identity. Para obtener más información, consulte Etiquetas de entidad de Microsoft Defender for Identity en Microsoft Defender XDR.
Lista completa de todas las entidades, como pueden ser equipos, grupos o usuarios, que desea etiquetar manualmente como entidades confidenciales. Para obtener más información, consulte Etiquetas de entidad de Microsoft Defender for Identity en Microsoft Defender XDR.
Detalles de programación de informes, incluida una lista de todos los informes y el tiempo programado.
Precaución
No desinstale el Centro ATA hasta que se hayan removido todas las puertas de enlace de ATA. Si la desinstalación del Centro ATA con puertas de enlace de ATA sigue ejecutándose, su organización queda expuesta sin protección contra amenazas.
Mudarse a Defender for Identity
Siga estos pasos para migrar a Defender for Identity:
Desinstale la puerta de enlace ligera de ATA en todos los controladores de dominio.
Instale el sensor de Defender for Identity en todos los controladores de dominio:
Una vez completada la migración, deje pasar dos horas para que se complete la sincronización inicial antes de continuar con las tareas de validación.
Valide la migración
En Microsoft Defender XDR, compruebe las siguientes áreas para validar la migración:
- Revise los problemas de mantenimiento de los signos de problemas de servicio.
- Revise los registros de errores del sensor de Defender for Identity para ver si hay errores inusuales.
Actividades posteriores a la migración
Después de completar la migración a Defender for Identity, haga lo siguiente para limpiar los recursos de ATA heredados:
Asegúrese de que ha registrado o corregido todas las alertas de ATA existentes. Las alertas de seguridad de ATA existentes no se importan a Defender for Identity con la migración.
Realice una o ambas de las acciones siguientes:
- Retirar el Centro ATA. Se recomienda mantener los datos de ATA en línea durante un período de tiempo.
- Realice una copia de seguridad de Mongo DB si desea mantener los datos de ATA indefinidamente. Para más información, vea Realizar una copia de seguridad de la base de datos de ATA.
Información relacionada
Después de migrar a Defender for Identity, obtenga más información sobre la investigación de alertas en Microsoft Defender XDR. Para más información, vea: