Análise avançada de ameaças (ATA) para o Microsoft Defender for Identity
Este artigo descreve como migrar de uma instalação existente do ATA para um sensor do Microsoft Defender for Identity e inclui as seguintes etapas:
- Revise e confirme os pré-requisitos do serviço Defender for Identity
- Documente a configuração existente do ATA
- Planear a migração
- Instalar e configurar o serviço Defender for Identity
- Executar verificações e verificações pós-migração
- Desmantelar a ATA
O ATA é uma solução local autônoma com vários componentes, como o Centro do ATA, que requer hardware dedicado local.
O Defender for Identity é uma solução de segurança baseada na nuvem que usa seus sinais do Ative Directory local. A solução é altamente escalável e é atualizada com frequência.
Em contraste com o sensor ATA, o sensor Defender for Identity também usa fontes de dados como o Rastreamento de Eventos para Windows (ETW), permitindo que o Defender for Identity forneça deteções extras. O Defender for Identity também fornece:
- Suporte para ambientes multi-floresta
- Avaliações de postura do Microsoft Secure Score
- Capacidades da UEBA
- Integrações diretas com outros serviços, como o Microsoft Defender for Cloud Apps e o Microsoft Entra para uma visão híbrida do que está acontecendo em ambientes locais e híbridos
- E muito mais
O Defender for Identity também usa o portfólio de segurança do Microsoft 365 para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.
Importante
Este guia de migração foi projetado apenas para sensores do Defender for Identity e não para sensores autônomos.
Embora você possa migrar para o Defender for Identity de qualquer versão do ATA, seus dados do ATA não são migrados. Portanto, recomendamos que você planeje manter seu Data Center do ATA e quaisquer alertas necessários para investigações em andamento até que todos os alertas do ATA sejam fechados ou corrigidos.
Nota
A versão final do ATA está geralmente disponível. A ATA encerrou o Suporte Base em 12 de janeiro de 2021. O suporte estendido continuará até janeiro de 2026. Para mais informações, leia o nosso blog.
Pré-requisitos
Para migrar do ATA para o Defender for Identity, você deve ter um ambiente e controladores de domínio que atendam aos requisitos do sensor do Defender for Identity. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.
Verifique se todos os controladores de domínio que você planeja usar têm acesso suficiente à Internet para o serviço Defender for Identity. Para obter mais informações, consulte Configurar proxy de ponto de extremidade e configurações de conectividade com a Internet.
Planear a migração
Antes de iniciar a migração, reúna todas as seguintes informações:
Detalhes da conta dos Serviços de Diretório.
Detalhes da notificação por e-mail.
Todas as associações de grupos de funções do ATA.
Detalhes da integração VPN.
Exclusões de alerta. As exclusões não são transferíveis do ATA para o Defender for Identity, portanto, os detalhes de cada exclusão são necessários para replicar as exclusões como Defender for Identity no Microsoft Defender XDR.
Detalhes da conta para tags de entidade. Se você ainda não tiver tags de entidade dedicadas, crie novas tags para uso com o Defender for Identity. Para obter mais informações, consulte Defender para marcas de entidade de identidade no Microsoft Defender XDR.
Uma lista completa de todas as entidades, como computadores, grupos ou usuários, que você deseja marcar manualmente como entidades confidenciais. Para obter mais informações, consulte Defender para marcas de entidade de identidade no Microsoft Defender XDR.
Detalhes do agendamento de relatórios, incluindo uma lista de todos os relatórios e horários agendados.
Atenção
Não desinstale o Centro do ATA até que todos os Gateways do ATA sejam removidos. A desinstalação do Centro do ATA com os Gateways do ATA ainda em execução deixa a sua organização exposta sem proteção contra ameaças.
Mover para o Defender for Identity
Use as seguintes etapas para migrar para o Defender for Identity:
Crie seu novo espaço de trabalho do Defender for Identity.
Desinstale o ATA Lightweight Gateway em todos os controladores de domínio.
Instale o Defender for Identity Sensor em todos os controladores de domínio:
Transfira os ficheiros do sensor Defender for Identity e recupere a chave de acesso.
Instale os sensores do Defender for Identity nos controladores de domínio.
Configure o sensor do Defender for Identity.
Após a conclusão da migração, aguarde duas horas para que a sincronização inicial seja concluída antes de prosseguir com as tarefas de validação.
Valide sua migração
No Microsoft Defender XDR, verifique as seguintes áreas para validar sua migração:
- Analise quaisquer problemas de integridade para verificar se há sinais de problemas de serviço.
- Revise os logs de erros do sensor do Defender for Identity para verificar se há erros incomuns.
Atividades pós-migração
Depois de concluir a migração para o Defender for Identity, faça o seguinte para limpar os recursos ATA herdados:
Certifique-se de que gravou ou corrigiu todos os alertas ATA existentes. Os alertas de segurança ATA existentes não são importados para o Defender for Identity com a migração.
Siga um destes procedimentos ou ambos:
- Descomissionar o Centro ATA. Recomendamos manter os dados ATA online por um período de tempo.
- Faça backup do Mongo DB se quiser manter os dados do ATA indefinidamente. Para obter mais informações, consulte Fazendo backup do banco de dados do ATA.
Informações relacionadas
Depois de migrar para o Defender for Identity, saiba mais sobre como investigar alertas no Microsoft Defender XDR. Para obter mais informações, consulte: