Advanced Threat Analytics (ATA) vers Microsoft Defender pour Identity
Cet article explique comment migrer d’une installation ATA existante vers un capteur Microsoft Defender pour Identity, et inclut les étapes suivantes :
- Consulter et valider les prérequis du service Defender pour Identity
- Documenter votre configuration ATA existante
- Planifier votre migration
- Installer et configurer votre service Defender pour Identity
- Effectuer des vérifications post-migration
- Désactivation d’ATA
ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA qui nécessite du matériel dédié en local.
Defender pour Identity est une solution de sécurité informatique qui utilise vos signaux Active Directory local. La solution est hautement évolutive et est fréquemment mise à jour.
Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires. Defender pour Identity offre également les fonctionnalités suivantes :
- Prise en charge des environnements multi-forêts
- Évaluations de la posture Microsoft Secure Score
- Capacités UEBA
- Des intégrations directes avec d'autres services comme Microsoft Defender pour les applications Cloud et Microsoft Entra pour une vue hybride de ce qui se passe dans les environnements sur site et hybrides.
- Et plus encore
Defender pour Identity utilise également le portefeuille de sécurité de Microsoft 365 pour analyser automatiquement les données sur les menaces inter-domaines, en construisant une image complète de chaque attaque dans un tableau de bord unique.
Important
Ce guide de migration est conçu pour les capteurs Defender pour Identity uniquement, et non pour les capteurs autonomes.
Bien que vous puissiez migrer vers Defender pour Identity à partir de n’importe quelle version d’ATA, vos données ATA ne sont pas migrées. Par conséquent, nous vous recommandons de conserver votre centre de données ATA et toutes les alertes requises pour les examens en cours jusqu’à ce que toutes les alertes ATA soient fermées ou corrigées.
Remarque
La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu continuera jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.
Prérequis
Pour migrer d’ATA vers Defender pour Identity, vous devez disposer d’un environnement et de contrôleurs de domaine qui répondent aux exigences du capteur Defender pour Identity. Pour plus d’informations, consultez Prérequis pour Microsoft Defender pour Identity.
Assurez-vous que tous les contrôleurs de domaine que vous envisagez d’utiliser disposent d’un accès à Internet suffisant au service Defender pour Identity. Pour plus d’informations, consultez Configurer les paramètres de connectivité Internet et de proxy du point de terminaison.
Planifier votre migration
Avant de commencer la migration, rassemblez toutes les informations suivantes :
Détails du compte de votre compte Services d’annuaire.
Paramètres de notification syslog.
Détails de la notification par e-mail.
Toutes les appartenances aux groupes de rôles ATA.
Exclusions des alertes. Les exclusions ne sont pas transférées d’ATA à Defender pour Identity. Les détails de chaque exclusion sont donc nécessaires pour répliquer les exclusions dans Defender pour Identity dans Microsoft Defender XDR.
Détails du compte pour les étiquettes d’entité. Si vous n’avez pas encore d’étiquettes d’entité dédiées, créez-en pour les utiliser avec Defender pour Identity. Pour plus d’informations, consultez Étiquettes d’entité Microsoft Defender pour Identity dans Microsoft Defender XDR.
Liste complète de toutes les entités, telles que les ordinateurs, les groupes ou les utilisateurs, que vous souhaitez étiqueter manuellement en tant qu’entités sensibles. Pour plus d’informations, consultez Étiquettes d’entité Microsoft Defender pour Identity dans Microsoft Defender XDR.
Détails de la planification des rapports, y compris une liste de tous les rapports et du minutage planifié.
Attention
Ne désinstallez pas le centre ATA tant que toutes les passerelles ATA ne sont pas supprimées. La désinstallation du centre ATA avec des passerelles ATA toujours en cours d’exécution laisse votre organisation exposée sans protection contre les menaces.
Migrer vers Defender pour Identity
Procédez comme suit pour migrer vers Defender pour Identity :
Désinstallez la passerelle légère ATA sur tous les contrôleurs de domaine.
Installez le capteur Defender pour Identity sur tous les contrôleurs de domaine :
Une fois la migration terminée, attendez deux heures pour que la synchronisation initiale soit terminée avant de passer aux tâches de validation.
Valider votre migration
Dans Microsoft Defender XDR, vérifiez les domaines suivants pour valider votre migration :
- Passez en revue les problèmes d’intégrité pour détecter les problèmes de service.
- Passez en revue les journaux d’erreurs du capteur Defender pour Identity pour toute erreur inhabituelle.
Activités à l’issue de la migration
Après avoir effectué votre migration vers Defender pour Identity, procédez comme suit pour nettoyer vos ressources ATA héritées :
Vérifiez que vous avez enregistré ou corrigé toutes les alertes ATA existantes. Les alertes de sécurité ATA existantes ne sont pas importées dans Defender pour Identity avec la migration.
Effectuez une des actions suivantes ou les deux :
- Désactivez le centre ATA. Nous vous recommandons de conserver les données ATA en ligne pendant une période donnée.
- Sauvegardez Mongo DB si vous souhaitez conserver indéfiniment les données ATA. Pour plus d’informations, consultez Sauvegarder la base de données ATA.
Informations connexes
Après avoir migré vers Defender pour Identity, apprenez-en davantage sur l’examen des alertes dans Microsoft Defender XDR. Pour plus d’informations, consultez l’article suivant :