Advanced Threat Analytics (ATA) till Microsoft Defender för identitet

Den här artikeln beskriver hur du migrerar från en befintlig ATA-installation till en Microsoft Defender för identitetssensor och innehåller följande steg:

• Granska och bekräfta krav för Defender för identitetstjänsten
• Dokumentera din befintliga ATA-konfiguration
• Planera migrationen
• Konfigurera din Defender for Identity-tjänst
• Utföra kontroller och verifieringar efter migreringen
• Inaktivera ATA

ATA är en fristående lokal lösning med flera komponenter, till exempel ATA Center som kräver dedikerad maskinvara lokalt.

Defender for Identity är en molnbaserad säkerhetslösning som använder dina lokal Active Directory signaler. Lösningen är mycket skalbar och uppdateras ofta.

Till skillnad från ATA-sensorn använder Defender for Identity-sensorn även datakällor som händelsespårning för Windows (ETW) som gör det möjligt för Defender for Identity att leverera extra identifieringar. Defender for Identity tillhandahåller också:

• Stöd för miljöer med flera skogar
• Utvärderingar av Microsoft Secure Score-hållning
• UEBA-funktioner
• Direktintegrering med andra tjänster som Microsoft Defender för molnet Apps och Microsoft Entra för en hybridvy över vad som händer i både lokala miljöer och hybridmiljöer
• Och mer

Defender for Identity använder också Microsoft 365-säkerhetsportföljen för att automatiskt analysera hotdata mellan domäner och skapa en fullständig bild av varje attack på en enda instrumentpanel.

Viktigt!

Den här migreringsguiden är endast utformad för Defender för identitetssensorer och inte fristående sensorer.

Du kan migrera till Defender för identitet från valfri ATA-version, men dina ATA-data migreras inte. Därför rekommenderar vi att du planerar att behålla ditt ATA-datacenter och eventuella aviseringar som krävs för pågående undersökningar tills alla ATA-aviseringar stängs eller åtgärdas.

Kommentar

Den slutliga versionen av ATA är allmänt tillgänglig. ATA avslutade Mainstream Support den 12 januari 2021. Utökad support fortsätter till januari 2026. Mer information finns i vår blogg.

Förutsättningar

Om du vill migrera från ATA till Defender för identitet måste du ha en miljö och domänkontrollanter som uppfyller kraven för Defender för identitetssensorer. Mer information finns i Krav för Microsoft Defender för identitet.

Kontrollera att alla domänkontrollanter som du planerar att använda har tillräcklig internetåtkomst till Defender for Identity-tjänsten. Mer information finns i Konfigurera inställningar för slutpunktsproxy och Internetanslutning.

Planera migrationen

Samla in all följande information innan du påbörjar migreringen:

• Kontoinformation för ditt Directory Services-konto.

• Inställningar för Syslog-meddelanden.

• Information om e-postaviseringar.

• Alla medlemskap i ATA-rollgrupper.

• VPN-integreringsinformation.

• Aviseringsundantag. Undantag kan inte överföras från ATA till Defender för identitet, så information om varje undantag krävs för att replikera undantagen som Defender för identitet i Microsoft Defender XDR.

• Kontoinformation för entitetstaggar. Om du inte redan har dedikerade entitetstaggar skapar du nya för användning med Defender för identitet. Mer information finns i Entitetstaggar för Defender för identitet i Microsoft Defender XDR.

• En fullständig lista över alla entiteter, till exempel datorer, grupper eller användare, som du vill tagga manuellt som känsliga entiteter. Mer information finns i Entitetstaggar för Defender för identitet i Microsoft Defender XDR.

• Information om rapportschemaläggning, inklusive en lista över alla rapporter och schemalagd tidsinställning.

Varning

Avinstallera inte ATA Center förrän alla ATA-gatewayer har tagits bort. Om du avinstallerar ATA Center med ATA Gateways som fortfarande körs blir din organisation exponerad utan hotskydd.

Flytta till Defender för identitet

Använd följande steg för att migrera till Defender för identitet:

1. Skapa din nya Defender for Identity-arbetsyta.

2. Avinstallera ATA Lightweight Gateway på alla domänkontrollanter.

3. Installera Defender for Identity Sensor på alla domänkontrollanter:

   1. Ladda ned Defender for Identity-sensorfilerna och hämta åtkomstnyckeln.

   2. Installera Defender för identitetssensorer på dina domänkontrollanter.

4. Konfigurera Defender for Identity-sensorn.

När migreringen är klar tillåter du två timmar för att den inledande synkroniseringen ska slutföras innan du går vidare med valideringsuppgifter.

Verifiera migreringen

I Microsoft Defender XDR kontrollerar du följande områden för att verifiera migreringen:

• Granska eventuella hälsoproblem för tecken på tjänstproblem.
• Granska Felloggarna för Defender för identitetssensorer för ovanliga fel.

Aktiviteter efter migrering

När du har slutfört migreringen till Defender for Identity gör du följande för att rensa dina äldre ATA-resurser:

1. Kontrollera att du har registrerat eller åtgärdat alla befintliga ATA-aviseringar. Befintliga ATA-säkerhetsaviseringar importeras inte till Defender för identitet med migreringen.

2. Gör något av följande:

   • Inaktivera ATA Center. Vi rekommenderar att du håller ATA-data online under en viss tid.
   • Säkerhetskopiera Mongo DB om du vill behålla ATA-data på obestämd tid. Mer information finns i Säkerhetskopiera ATA-databasen.

Relaterad information

När du har migrerat till Defender för identitet kan du läsa mer om att undersöka aviseringar i Microsoft Defender XDR. Mer information finns i:

• Förstå säkerhetsaviseringar
• Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR