用于Microsoft Defender for Identity的高级威胁分析 (ATA)

注意

ATA 的最终版本 已正式发布。 ATA 于 2021 年 1 月 12 日结束了主流支持。 延长支持将持续到 2026 年 1 月。 有关详细信息,请阅读 我们的博客

使用本指南从现有 ATA 安装迁移到 (Microsoft Defender for Identity) 服务。 本指南介绍了 Defender for Identity 先决条件和要求,并详细介绍了如何规划和完成移动。 安装后,还包含使用 Defender for Identity 的最新威胁防护和安全解决方案的验证步骤和提示。

若要详细了解 ATA 与 Defender for Identity 之间的差异,请参阅 Defender for Identity 常见问题解答

本指南中,你将实现以下操作:

  • 查看并确认 Defender for Identity 服务先决条件
  • 记录现有的 ATA 配置
  • 计划迁移
  • 设置和配置 Defender for Identity 服务
  • 执行迁移后检查和验证
  • 完成迁移后解除 ATA 授权

注意

可以从任何 ATA 版本迁移到 Defender for Identity。 但是,由于无法将数据从 ATA 移动到 Defender for Identity,因此建议在关闭或修正所有 ATA 警报之前保留正在进行的调查所需的 ATA 中心数据和警报。

先决条件

  • 至少需要一个全局/安全管理员的 Azure Active Directory 租户才能创建 Defender for Identity 实例。 每个 Defender for Identity 实例均支持多个 Active Directory 林边界和 Windows 2003 及更高版本的林功能级别 (FFL)。

  • Defender for Identity 需要 .Net Framework 4.7 或更高版本,如果当前 .Net Framework 版本不是 4.7 或更高版本,可能需要重启域控制器。

  • 请确保域控制器满足所有 Defender for Identity 传感器要求 ,并且你的环境满足所有 Defender for Identity 要求

  • 验证你计划使用的所有域控制器是否对 Defender for Identity 服务具有足够的 Internet 访问权限。 检查并确认域控制器符合 Defender for Identity 代理配置要求

注意

此迁移指南仅适用于 Defender for Identity 传感器。

计划

在开始迁移之前,请务必收集以下信息:

  1. 目录服务帐户的帐户详细信息。
  2. Syslog 通知设置
  3. 电子邮件通知详细信息
  4. ATA 角色组成员身份
  5. VPN 集成
  6. 警报排除项
  7. 蜜标帐户的帐户详细信息。
  8. 想要手动标记为敏感实体的所有实体(计算机、组、用户)的完整列表。
    • 详细了解 Defender for Identity 中 敏感实体 的重要性。
  9. 报表计划详细信息(列表列表和计划时间)。

注意

在删除所有 ATA 网关之前,请勿卸载 ATA 中心。 在 ATA 网关仍在运行的情况下卸载 ATA 中心,会使你的组织暴露在没有威胁防护的情况下。

移动

在两个简单的步骤中完成迁移到 Defender for Identity:

步骤 1:创建并安装 Defender for Identity 实例和传感器

  1. 创建新的 Defender for Identity 实例

  2. 在所有域控制器上卸载 ATA 轻型网关。

  3. 在所有域控制器上安装 Defender for Identity Sensor:

步骤 2:配置和验证 Defender for Identity 实例

注意

在安装 Defender for Identity 传感器并完成初始同步之前,无法完成以下列表中的某些任务,例如为手动 敏感 标记选择实体。 请预留时间以完成初始同步(最多需要 2 小时)。

验证

在Microsoft 365 Defender门户中:

迁移后

本指南的这一部分介绍了完成迁移后可以执行的操作。

注意

不支持将现有安全警报从 ATA 导入到 Defender for Identity。 确保记录或解决所有现有 ATA 警报,再解除 ATA 中心授权。

  • 解除 ATA 中心授权

    • 若要在迁移后引用 ATA 中心数据,建议使中心数据保持在线一段时间。 在解除 ATA 中心授权后,通常可以减少资源数量,尤其是虚拟机资源。
  • 备份 Mongo DB

任务完成

祝贺你! 从 ATA 迁移到 Defender for Identity 已完成。

后续步骤

详细了解 Defender for Identity 特性、功能和 安全警报

加入社区

你是否有更多问题或有兴趣与其他人讨论 Defender for Identity 及相关安全性? 立即加入 Defender for Identity 社区