Usługa Advanced Threat Analytics (ATA) do usługi Microsoft Defender for Identity
W tym artykule opisano sposób migracji z istniejącej instalacji usługi ATA do czujnika usługi Microsoft Defender for Identity i przedstawiono następujące kroki:
- Przejrzyj i potwierdź wymagania wstępne usługi Defender for Identity
- Dokumentowanie istniejącej konfiguracji usługi ATA
- Zaplanuj migrację
- Konfigurowanie i konfigurowanie usługi Defender for Identity
- Przeprowadzanie kontroli po migracji i weryfikacji
- Likwiduj usługi ATA
Usługa ATA jest autonomicznym rozwiązaniem lokalnym z wieloma składnikami, takimi jak centrum usługi ATA, które wymaga dedykowanego sprzętu lokalnego.
Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń korzystające z sygnałów lokalna usługa Active Directory. Rozwiązanie jest wysoce skalowalne i jest często aktualizowane.
W przeciwieństwie do czujnika usługi ATA czujnik usługi Defender for Identity używa również źródeł danych, takich jak śledzenie zdarzeń dla systemu Windows (ETW), co umożliwia usłudze Defender for Identity dostarczanie dodatkowych wykryć. Usługa Defender for Identity udostępnia również następujące funkcje:
- Obsługa środowisk z wieloma lasami
- Oceny stanu wskaźnika bezpieczeństwa firmy Microsoft
- Możliwości analizy UEBA
- Bezpośrednie integracje z innymi usługami, takimi jak Microsoft Defender dla Chmury Apps i Microsoft Entra, w celu uzyskania hybrydowego widoku tego, co ma miejsce zarówno w środowiskach lokalnych, jak i hybrydowych
- I nawet więcej
Usługa Defender for Identity używa również portfolio zabezpieczeń platformy Microsoft 365 do automatycznego analizowania danych zagrożeń między domenami, tworząc pełny obraz każdego ataku na jednym pulpicie nawigacyjnym.
Ważne
Ten przewodnik migracji jest przeznaczony tylko dla czujników usługi Defender for Identity, a nie autonomicznych czujników.
Chociaż możesz przeprowadzić migrację do usługi Defender for Identity z dowolnej wersji usługi ATA, dane usługi ATA nie są migrowane. W związku z tym zalecamy, aby zachować centrum danych usługi ATA i wszelkie alerty wymagane do bieżących badań, dopóki wszystkie alerty usługi ATA nie zostaną zamknięte lub skorygowane.
Uwaga
Ostateczna wersja usługi ATA jest ogólnie dostępna. Usługa ATA zakończyła wsparcie podstawowe 12 stycznia 2021 r. Wsparcie dodatkowe będzie kontynuowane do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.
Wymagania wstępne
Aby przeprowadzić migrację z usługi ATA do usługi Defender for Identity, musisz mieć kontrolery środowiska i domeny spełniające wymagania czujnika usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.
Upewnij się, że wszystkie kontrolery domeny, których planujesz używać, mają wystarczający dostęp do Internetu do usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera proxy punktu końcowego i ustawień łączności internetowej.
Zaplanuj migrację
Przed rozpoczęciem migracji zbierz wszystkie następujące informacje:
Wszystkie członkostwa w grupach ról usługi ATA.
Szczegóły integracji sieci VPN.
Wykluczenia alertów. Wykluczenia nie można przenosić z usługi ATA do usługi Defender for Identity, dlatego szczegółowe informacje o każdym wykluczeniu są wymagane do replikowania wykluczeń jako usługi Defender for Identity w usłudze Microsoft Defender XDR.
Szczegóły konta dla tagów jednostek. Jeśli nie masz jeszcze dedykowanych tagów jednostek, utwórz nowe do użycia z usługą Defender for Identity. Aby uzyskać więcej informacji, zobacz Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR).
Pełna lista wszystkich jednostek, takich jak komputery, grupy lub użytkownicy, które chcesz ręcznie oznaczyć jako jednostki poufne. Aby uzyskać więcej informacji, zobacz Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w usłudze Microsoft Defender XDR).
Szczegóły planowania raportów, w tym lista wszystkich raportów i zaplanowany czas.
Uwaga
Nie należy odinstalować centrum usługi ATA do momentu usunięcia wszystkich bram usługi ATA. Odinstalowanie centrum usługi ATA przy użyciu bram usługi ATA nadal działa, pozostawia organizację uwidocznianą bez ochrony przed zagrożeniami.
Przenoszenie do usługi Defender for Identity
Wykonaj następujące kroki, aby przeprowadzić migrację do usługi Defender for Identity:
Utwórz nowy obszar roboczy usługi Defender for Identity.
Odinstaluj uproszczoną bramę usługi ATA na wszystkich kontrolerach domeny.
Zainstaluj czujnik usługi Defender for Identity na wszystkich kontrolerach domeny:
Pobierz pliki czujnika usługi Defender for Identity i pobierz klucz dostępu.
Zainstaluj czujniki usługi Defender for Identity na kontrolerach domeny.
Skonfiguruj czujnik usługi Defender for Identity.
Po zakończeniu migracji przed przejściem do zadań walidacji poczekaj dwie godziny na ukończenie synchronizacji początkowej.
Weryfikowanie migracji
W usłudze Microsoft Defender XDR sprawdź następujące obszary, aby zweryfikować migrację:
- Przejrzyj wszelkie problemy z kondycją pod kątem oznak problemów z usługą.
- Przejrzyj dzienniki błędów czujnika usługi Defender for Identity pod kątem wszelkich nietypowych błędów.
Działania po migracji
Po zakończeniu migracji do usługi Defender for Identity wykonaj następujące czynności, aby wyczyścić starsze zasoby usługi ATA:
Upewnij się, że zarejestrowano lub skorygowano wszystkie istniejące alerty usługi ATA. Istniejące alerty zabezpieczeń usługi ATA nie są importowane do usługi Defender for Identity z migracją.
Wykonaj jedną lub obie z następujących czynności:
- Zlikwidowanie centrum usługi ATA. Zalecamy przechowywanie danych usługi ATA w trybie online przez pewien czas.
- Tworzenie kopii zapasowej bazy danych Mongo DB , jeśli chcesz zachować dane usługi ATA na czas nieokreślony. Aby uzyskać więcej informacji, zobacz Tworzenie kopii zapasowej bazy danych usługi ATA.
Informacje pokrewne
Po przeprowadzeniu migracji do usługi Defender for Identity dowiedz się więcej na temat badania alertów w usłudze Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz: