从高级威胁分析 (ATA) 到 Microsoft Defender for Identity
本文章介绍了如何从现有的 ATA 安装迁移到 Microsoft Defender for Identity 传感器,并包含以下步骤:
- 查看并确认 Defender for Identity 服务先决条件
- 记录你现有的 ATA 配置
- 规划迁移
- 安装并配置 Defender for Identity 服务
- 执行迁移后检查和验证
- 取消 ATA
ATA 是具有多个组件的独立型本地解决方案,比如需要本地专用硬件的 ATA 中心。
Defender for Identity 是一种基于云的安全解决方案,使用的是本地 Active Directory 信号。 该解决方案具有高度可缩放性,并经常更新。
与 ATA 传感器不同的是,Defender for Identity 传感器还使用 Windows 事件跟踪 (ETW) 等数据源,使 Defender for Identity 能够提供额外的检测。 Defender for Identity 还提供:
- 支持多林环境
- Microsoft Secure 分数状况评估
- UEBA 功能
- 直接与 Microsoft Defender for Cloud Apps 和 Microsoft Entra 等其他服务集成,以便混合查看本地和混合环境中发生的情况
- 及其他信息
Defender for Identity 还使用 Microsoft 365 安全产品组合自动分析跨域威胁数据,在单个仪表板中构建每个攻击的完整画面。
重要
本迁移指南仅适用于 Defender for Identity 传感器,而非独立传感器。
虽然你可以从任何 ATA 版本迁移到 Defender for Identity,但你的 ATA 数据不会迁移。 因此,我们建议你计划保留你的 ATA 数据中心和正在进行的调查所需的任何警报,直到所有 ATA 警报关闭或得到修正。
先决条件
要从 ATA 迁移到 Defender for Identity,你必须具有满足 Defender for Identity 传感器要求的环境和域控制器。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件。
请确保你计划使用的所有域控制器都有足够的 Internet 访问权限来访问 Defender for Identity 服务。 有关详细信息,请参阅配置端点代理和 Internet 连接设置。
规划迁移
在开始迁移之前,请收集以下所有信息:
目录服务帐户的帐户详细信息。
Syslog 通知设置。
电子邮件通知详细信息。
所有 ATA 角色组成员身份。
警报排除项。 排除项不能从 ATA 转移到 Defender for Identity,因此需要每个排除项的详细信息才能在 Microsoft Defender XDR 中将排除项复制为 Defender for Identity。
实体标记的帐户详细信息。 如果你还没有专用的实体标记,请创建新的实体标记以与 Defender for Identity 一起使用。 有关更多信息,请参阅 Microsoft Defender XDR 中的 Defender for Identity 实体标记。
要手动标记为敏感实体的所有实体(如计算机、组或用户)的完整列表。 有关更多信息,请参阅 Microsoft Defender XDR 中的 Defender for Identity 实体标记。
报告计划详细信息,包含所有报告和安排时间的列表。
注意
在移除所有 ATA 网关之前,不要卸载 ATA 中心。 在 ATA 网关仍在运行的情况下卸载 ATA 中心会使你的组织暴露在没有威胁防护的情况下。
移动到 Defender for Identity
使用以下步骤迁移到 Defender for Identity:
在所有域控制器上卸载 ATA 轻量级网关。
在所有域控制器上安装 Defender for Identity 传感器:
迁移完成后,请留出两个小时的时间完成初始同步,然后再继续执行验证任务。
验证你的迁移
在 Microsoft Defender XDR 中,检查以下区域以验证迁移:
迁移后活动
完成迁移到 Defender for Identity 后,请执行以下操作以清理旧的 ATA 资源:
请确保已记录或修正所有现有的 ATA 警报。 现有的 ATA 安全警报不会随着迁移而导入到 Defender for Identity。
执行下列一种或两种操作:
- 取消 ATA 中心。 我们建议将 ATA 数据保持在线一段时间。
- 如果你想无限期地保留 ATA 数据,请备份 Mongo DB。 有关详细信息,请参阅 备份 ATA 数据库。
相关信息
迁移到 Defender for Identity 后,了解有关在 Microsoft Defender XDR 中调查警报的更多信息。 有关详细信息,请参阅: