Partilhar via


Análise avançada de ameaças (ATA) para o Microsoft Defender for Identity

Este artigo descreve como migrar de uma instalação existente do ATA para um sensor do Microsoft Defender for Identity e inclui as seguintes etapas:

  • Revise e confirme os pré-requisitos do serviço Defender for Identity
  • Documente a configuração existente do ATA
  • Planear a migração
  • Instalar e configurar o serviço Defender for Identity
  • Executar verificações e verificações pós-migração
  • Desmantelar a ATA

O ATA é uma solução local autônoma com vários componentes, como o Centro do ATA, que requer hardware dedicado local.

O Defender for Identity é uma solução de segurança baseada na nuvem que usa seus sinais do Ative Directory local. A solução é altamente escalável e é atualizada com frequência.

Em contraste com o sensor ATA, o sensor Defender for Identity também usa fontes de dados como o Rastreamento de Eventos para Windows (ETW), permitindo que o Defender for Identity forneça deteções extras. O Defender for Identity também fornece:

O Defender for Identity também usa o portfólio de segurança do Microsoft 365 para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.

Importante

Este guia de migração foi projetado apenas para sensores do Defender for Identity e não para sensores autônomos.

Embora você possa migrar para o Defender for Identity de qualquer versão do ATA, seus dados do ATA não são migrados. Portanto, recomendamos que você planeje manter seu Data Center do ATA e quaisquer alertas necessários para investigações em andamento até que todos os alertas do ATA sejam fechados ou corrigidos.

Nota

A versão final do ATA está geralmente disponível. A ATA encerrou o Suporte Base em 12 de janeiro de 2021. O suporte estendido continuará até janeiro de 2026. Para mais informações, leia o nosso blog.

Pré-requisitos

Para migrar do ATA para o Defender for Identity, você deve ter um ambiente e controladores de domínio que atendam aos requisitos do sensor do Defender for Identity. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.

Verifique se todos os controladores de domínio que você planeja usar têm acesso suficiente à Internet para o serviço Defender for Identity. Para obter mais informações, consulte Configurar proxy de ponto de extremidade e configurações de conectividade com a Internet.

Planear a migração

Antes de iniciar a migração, reúna todas as seguintes informações:

Atenção

Não desinstale o Centro do ATA até que todos os Gateways do ATA sejam removidos. A desinstalação do Centro do ATA com os Gateways do ATA ainda em execução deixa a sua organização exposta sem proteção contra ameaças.

Mover para o Defender for Identity

Use as seguintes etapas para migrar para o Defender for Identity:

  1. Crie seu novo espaço de trabalho do Defender for Identity.

  2. Desinstale o ATA Lightweight Gateway em todos os controladores de domínio.

  3. Instale o Defender for Identity Sensor em todos os controladores de domínio:

    1. Transfira os ficheiros do sensor Defender for Identity e recupere a chave de acesso.

    2. Instale os sensores do Defender for Identity nos controladores de domínio.

  4. Configure o sensor do Defender for Identity.

Após a conclusão da migração, aguarde duas horas para que a sincronização inicial seja concluída antes de prosseguir com as tarefas de validação.

Valide sua migração

No Microsoft Defender XDR, verifique as seguintes áreas para validar sua migração:

Atividades pós-migração

Depois de concluir a migração para o Defender for Identity, faça o seguinte para limpar os recursos ATA herdados:

  1. Certifique-se de que gravou ou corrigiu todos os alertas ATA existentes. Os alertas de segurança ATA existentes não são importados para o Defender for Identity com a migração.

  2. Siga um destes procedimentos ou ambos:

    • Descomissionar o Centro ATA. Recomendamos manter os dados ATA online por um período de tempo.
    • Faça backup do Mongo DB se quiser manter os dados do ATA indefinidamente. Para obter mais informações, consulte Fazendo backup do banco de dados do ATA.

Depois de migrar para o Defender for Identity, saiba mais sobre como investigar alertas no Microsoft Defender XDR. Para obter mais informações, consulte: