Analitik Ancaman Tingkat Lanjut (ATA) ke Microsoft Defender untuk Identitas

Artikel ini menjelaskan cara bermigrasi dari penginstalan ATA yang ada ke sensor Microsoft Defender untuk Identitas, dan menyertakan langkah-langkah berikut:

• Meninjau dan mengonfirmasi prasyarat layanan Defender for Identity
• Mendokumen konfigurasi ATA Anda yang sudah ada
• Rencanakan migrasi Anda
• Menyiapkan dan mengonfigurasi layanan Defender for Identity Anda
• Melakukan pemeriksaan dan verifikasi pasca-migrasi
• Penonaktifan ATA

ATA adalah solusi lokal mandiri dengan beberapa komponen, seperti Pusat ATA yang memerlukan perangkat keras khusus lokal.

Defender for Identity adalah solusi keamanan berbasis cloud yang menggunakan sinyal Active Directory lokal Anda. Solusinya sangat dapat diskalakan dan sering diperbarui.

Berbeda dengan sensor ATA, sensor Defender for Identity juga menggunakan sumber data seperti Event Tracing for Windows (ETW) yang memungkinkan Defender for Identity memberikan deteksi ekstra. Defender for Identity juga menyediakan:

• Dukungan untuk lingkungan multi-forest
• Penilaian postur Skor Aman Microsoft
• Kemampuan UEBA
• Integrasi langsung dengan layanan lain seperti Microsoft Defender untuk Cloud Apps dan Microsoft Entra untuk tampilan hibrid tentang apa yang terjadi di lingkungan lokal dan hibrid
• Dan banyak lagi

Defender for Identity juga menggunakan portofolio keamanan Microsoft 365 untuk menganalisis data ancaman lintas domain secara otomatis, membangun gambaran lengkap setiap serangan dalam satu dasbor.

Penting

Panduan migrasi ini dirancang hanya untuk sensor Defender for Identity, dan bukan sensor mandiri.

Meskipun Anda dapat bermigrasi ke Defender for Identity dari versi ATA apa pun, data ATA Anda tidak dimigrasikan. Oleh karena itu, kami sarankan Anda berencana untuk mempertahankan Pusat Data ATA Anda dan pemberitahuan apa pun yang diperlukan untuk penyelidikan yang sedang berlangsung sampai semua pemberitahuan ATA ditutup atau diperbaiki.

Catatan

Rilis akhir ATA umumnya tersedia. ATA mengakhiri Dukungan Mainstream pada 12 Januari 2021. Dukungan yang Diperpanjang akan berlanjut hingga Januari 2026. Untuk informasi selengkapnya, baca blog kami.

Prasyarat

Untuk bermigrasi dari ATA ke Defender for Identity, Anda harus memiliki lingkungan dan pengendali domain yang memenuhi persyaratan sensor Defender for Identity. Untuk informasi selengkapnya, lihat prasyarat Microsoft Defender untuk Identitas.

Pastikan bahwa semua pengontrol domain yang Anda rencanakan untuk digunakan memiliki akses internet yang memadai ke layanan Defender for Identity. Untuk informasi selengkapnya, lihat Mengonfigurasi proksi titik akhir dan pengaturan konektivitas internet.

Rencanakan migrasi Anda

Sebelum memulai migrasi, kumpulkan semua informasi berikut:

• Detail akun untuk akun Layanan Direktori Anda.

• Pengaturan pemberitahuan Syslog.

• Detail pemberitahuan email.

• Semua keanggotaan grup peran ATA.

• Detail integrasi VPN.

• Pengecualian pemberitahuan. Pengecualian tidak dapat ditransfer dari ATA ke Defender for Identity, sehingga detail setiap pengecualian diperlukan untuk mereplikasi pengecualian sebagai Defender untuk Identitas di Pertahanan Microsoft XDR.

• Detail akun untuk tag entitas. Jika Anda belum memiliki tag entitas khusus, buat tag entitas baru untuk digunakan dengan Defender for Identity. Untuk informasi selengkapnya, lihat Tag entitas Pertahanan untuk Identitas di Microsoft Defender XDR.

• Daftar lengkap semua entitas, seperti komputer, grup, atau pengguna, yang ingin Anda tandai secara manual sebagai entitas Sensitif. Untuk informasi selengkapnya, lihat Tag entitas Pertahanan untuk Identitas di Microsoft Defender XDR.

• Laporkan detail penjadwalan, termasuk daftar semua laporan dan waktu terjadwal.

Perhatian

Jangan hapus instalan Pusat ATA hingga semua Gateway ATA dihapus. Menghapus instalan Pusat ATA dengan Gateway ATA yang masih berjalan membuat organisasi Anda terekspos tanpa perlindungan ancaman.

Pindah ke Defender untuk Identitas

Gunakan langkah-langkah berikut untuk bermigrasi ke Defender for Identity:

1. Buat ruang kerja Defender for Identity baru Anda.

2. Hapus instalan Gateway Ringan ATA di semua pengontrol domain.

3. Instal Defender untuk Sensor Identitas pada semua pengontrol domain:

   1. Unduh file sensor Defender for Identity dan ambil kunci akses.

   2. Instal sensor Defender for Identity pada pengontrol domain Anda.

4. Konfigurasikan sensor Defender for Identity Anda.

Setelah migrasi selesai, izinkan dua jam agar sinkronisasi awal selesai sebelum melanjutkan dengan tugas validasi.

Memvalidasi migrasi Anda

Di Microsoft Defender XDR, periksa area berikut untuk memvalidasi migrasi Anda:

• Tinjau masalah kesehatan apa pun untuk tanda-tanda masalah layanan.
• Tinjau log kesalahan sensor Defender for Identity untuk kesalahan yang tidak biasa.

Aktivitas pascamigrasi

Setelah menyelesaikan migrasi Anda ke Defender for Identity, lakukan hal berikut untuk membersihkan sumber daya ATA warisan Anda:

1. Pastikan Anda telah merekam atau memulihkan semua pemberitahuan ATA yang ada. Pemberitahuan keamanan ATA yang ada tidak diimpor ke Defender for Identity dengan migrasi.

2. Lakukan salah satu atau kedua hal berikut:

   • Menonaktifkan Pusat ATA. Sebaiknya jaga agar data ATA tetap online untuk jangka waktu tertentu.
   • Cadangkan Mongo DB jika Anda ingin menyimpan data ATA tanpa batas waktu. Untuk informasi selengkapnya, lihat Mencadangkan database ATA.

Informasi terkait

Setelah bermigrasi ke Defender for Identity, pelajari selengkapnya tentang menyelidiki pemberitahuan di Microsoft Defender XDR. Untuk informasi selengkapnya, lihat:

• Memahami pemberitahuan keamanan
• Menyelidiki pemberitahuan keamanan Pertahanan untuk Identitas di Pertahanan Microsoft XDR