Advanced Threat Analytics (ATA) – Microsoft Defender for Identity
Ez a cikk bemutatja, hogyan migrálhat meglévő ATA-telepítésről Egy Microsoft Defender for Identity-érzékelőre, és az alábbi lépéseket tartalmazza:
- A Defender for Identity szolgáltatás előfeltételeinek áttekintése és megerősítése
- Meglévő ATA-konfiguráció dokumentálása
- A migrálás megtervezése
- A Defender for Identity szolgáltatás beállítása és konfigurálása
- Áttelepítés utáni ellenőrzések és ellenőrzések végrehajtása
- Az ATA leszerelése
Az ATA egy különálló helyszíni megoldás több összetevővel, például a dedikált helyszíni hardvert igénylő ATA-központtal.
A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben méretezhető, és gyakran frissül.
Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows eseménykövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson. A Defender for Identity a következőket is biztosítja:
- Többerdős környezetek támogatása
- A Microsoft biztonságos pontszámának helyzetértékelései
- UEBA-képességek
- Közvetlen integráció más szolgáltatásokkal, például a Felhőhöz készült Microsoft Defender Appsszel és a Microsoft Entra-val a helyszíni és hibrid környezetekben zajló események hibrid megtekintéséhez
- És még sok más
A Defender for Identity a Microsoft 365 biztonsági portfolióját is használja a tartományok közötti veszélyforrások adatainak automatikus elemzéséhez, így teljes képet készít az egyes támadásokról egyetlen irányítópulton.
Fontos
Ez a migrálási útmutató csak a Defender identitásérzékelőihez készült, és nem önálló érzékelőkhöz.
Bár az ATA bármely verziójából migrálhat a Defender for Identity szolgáltatásba, az ATA-adatok nem lesznek migrálva. Ezért azt javasoljuk, hogy tartsa meg az ATA-adatközpontot és a folyamatban lévő vizsgálatokhoz szükséges riasztásokat mindaddig, amíg az összes ATA-riasztást be nem zárja vagy szervizeli.
Feljegyzés
Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az általános támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információkért olvassa el blogunkat.
Előfeltételek
Az ATA-ból a Defender for Identity-be való migráláshoz olyan környezettel és tartományvezérlőkkel kell rendelkeznie, amelyek megfelelnek a Defender for Identity érzékelő követelményeinek. További információ: Microsoft Defender for Identity előfeltételei.
Győződjön meg arról, hogy a használni kívánt tartományvezérlők mindegyike rendelkezik elegendő internetkapcsolattal a Defender for Identity szolgáltatáshoz. További információ: Végpontproxy és internetkapcsolat beállításainak konfigurálása.
A migrálás megtervezése
A migrálás megkezdése előtt gyűjtse össze az alábbi információkat:
A syslog értesítési beállításai.
E-mail értesítés részletei.
Az ATA-szerepkörcsoport összes tagsága.
Riasztások kizárása. A kizárások nem ruházhatók át az ATA-ból a Defender for Identity szolgáltatásba, ezért az egyes kizárások részletei szükségesek ahhoz, hogy a kizárásokat a Microsoft Defender XDR-ben Defender for Identityként replikálják.
Entitáscímkék fiókadatai. Ha még nem rendelkezik dedikált entitáscímkékkel, hozzon létre újakat a Defender for Identity használatához. További információ: Defender for Identity entitáscímkék a Microsoft Defender XDR-ben.
Az összes olyan entitás, például számítógép, csoport vagy felhasználó teljes listája, amelyet manuálisan bizalmas entitásként szeretne címkézni. További információ: Defender for Identity entitáscímkék a Microsoft Defender XDR-ben.
Jelentésütemezési adatok, beleértve az összes jelentés listáját és az ütemezett időzítést.
Figyelemfelhívás
Ne távolítsa el az ATA-központot, amíg el nem távolítja az összes ATA-átjárót. Az ATA-központ ATA-átjárókkal való eltávolítása továbbra is veszélyforrások elleni védelem nélkül teszi közzé a szervezetet.
Váltás a Defender for Identity szolgáltatásra
Az alábbi lépésekkel migrálhat a Defender for Identity szolgáltatásba:
Távolítsa el az egyszerűsített ATA-átjárót az összes tartományvezérlőn.
Telepítse a Defender for Identity Sensort az összes tartományvezérlőre:
Töltse le a Defender for Identity érzékelőfájljait , és kérje le a hozzáférési kulcsot.
Telepítse a Defender for Identity érzékelőket a tartományvezérlőkre.
Az áttelepítés befejezése után hagyja, hogy két óra elteltével befejeződjön a kezdeti szinkronizálás, mielőtt továbblépne az érvényesítési feladatokkal.
A migrálás ellenőrzése
A Microsoft Defender XDR-ben ellenőrizze a következő területeket a migrálás ellenőrzéséhez:
- Tekintse át a szolgáltatással kapcsolatos problémák jeleinek állapotával kapcsolatos problémákat .
- Tekintse át a Defender for Identity sensor hibanaplóit a szokatlan hibákért.
Áttelepítés utáni tevékenységek
A Defender for Identity szolgáltatásba való migrálás befejezése után tegye a következőket az örökölt ATA-erőforrások törléséhez:
Győződjön meg arról, hogy rögzítette vagy szervizelte az összes meglévő ATA-riasztást. A meglévő ATA biztonsági riasztások nem lesznek importálva a Defender for Identity szolgáltatásba a migrálással.
Hajtsa végre az alábbi műveletek egyikét vagy mindkettőt:
- Az ATA-központ leszerelése. Javasoljuk, hogy az ATA-adatokat egy ideig online állapotban tartsa.
- Ha az ATA-adatokat határozatlan ideig szeretné megőrizni, biztonsági másolatot készít a Mongo DB-ről . További információ: Az ATA-adatbázis biztonsági mentése.
Kapcsolódó információk
Miután migrált a Defender for Identity szolgáltatásba, további információ a Riasztások vizsgálatáról a Microsoft Defender XDR-ben. További információkért lásd: