从高级威胁分析 (ATA) 到 Microsoft Defender for Identity

本文章介绍了如何从现有的 ATA 安装迁移到 Microsoft Defender for Identity 传感器,并包含以下步骤:

  • 查看并确认 Defender for Identity 服务先决条件
  • 记录你现有的 ATA 配置
  • 规划迁移
  • 安装并配置 Defender for Identity 服务
  • 执行迁移后检查和验证
  • 取消 ATA

ATA 是具有多个组件的独立型本地解决方案,比如需要本地专用硬件的 ATA 中心。

Defender for Identity 是一种基于云的安全解决方案,使用的是本地 Active Directory 信号。 该解决方案具有高度可缩放性,并经常更新。

与 ATA 传感器不同的是,Defender for Identity 传感器还使用 Windows 事件跟踪 (ETW) 等数据源,使 Defender for Identity 能够提供额外的检测。 Defender for Identity 还提供:

Defender for Identity 还使用 Microsoft 365 安全产品组合自动分析跨域威胁数据,在单个仪表板中构建每个攻击的完整画面。

重要

本迁移指南仅适用于 Defender for Identity 传感器,而非独立传感器。

虽然你可以从任何 ATA 版本迁移到 Defender for Identity,但你的 ATA 数据不会迁移。 因此,我们建议你计划保留你的 ATA 数据中心和正在进行的调查所需的任何警报,直到所有 ATA 警报关闭或得到修正。

注意

ATA 的最终版本已正式发布。 ATA 于 2021 年 1 月 12 日终止了主要支持。 外延支持将持续到 2026 年 1 月。 有关详细信息,请阅读我们的博客文章

先决条件

要从 ATA 迁移到 Defender for Identity,你必须具有满足 Defender for Identity 传感器要求的环境和域控制器。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件

请确保你计划使用的所有域控制器都有足够的 Internet 访问权限来访问 Defender for Identity 服务。 有关详细信息,请参阅配置端点代理和 Internet 连接设置

规划迁移

在开始迁移之前,请收集以下所有信息:

注意

在移除所有 ATA 网关之前,不要卸载 ATA 中心。 在 ATA 网关仍在运行的情况下卸载 ATA 中心会使你的组织暴露在没有威胁防护的情况下。

移动到 Defender for Identity

使用以下步骤迁移到 Defender for Identity:

  1. 创建新的 Defender for Identity 工作区

  2. 在所有域控制器上卸载 ATA 轻量级网关。

  3. 在所有域控制器上安装 Defender for Identity 传感器:

    1. 下载 Defender for Identity 传感器文件并检索访问密钥。

    2. 在域控制器上安装 Defender for Identity 传感器

  4. 配置你的 Defender for Identity 传感器

迁移完成后,请留出两个小时的时间完成初始同步,然后再继续执行验证任务。

验证你的迁移

在 Microsoft Defender XDR 中,检查以下区域以验证迁移:

迁移后活动

完成迁移到 Defender for Identity 后,请执行以下操作以清理旧的 ATA 资源:

  1. 请确保已记录或修正所有现有的 ATA 警报。 现有的 ATA 安全警报不会随着迁移而导入到 Defender for Identity。

  2. 执行下列一种或两种操作:

    • 取消 ATA 中心。 我们建议将 ATA 数据保持在线一段时间。
    • 如果你想无限期地保留 ATA 数据,请备份 Mongo DB。 有关详细信息,请参阅 备份 ATA 数据库

迁移到 Defender for Identity 后,了解有关在 Microsoft Defender XDR 中调查警报的更多信息。 有关详细信息,请参阅: