共用方式為

進階威脅分析 (ATA) 適用於身分識別的 Microsoft Defender

  • 發行項

本文說明如何從現有的 ATA 安裝移轉至 適用於身分識別的 Microsoft Defender 感測器,並包含下列步驟:

  • 檢閱並確認適用於身分識別的Defender服務必要條件
  • 記錄您現有的 ATA 設定
  • 規劃移轉
  • 設定及設定適用於身分識別的Defender服務
  • 執行移轉後檢查和驗證
  • 解除委任 ATA

ATA 是具有多個元件的獨立內部部署解決方案,例如需要內部部署專用硬體的 ATA 中心。

適用於身分識別的Defender是使用 內部部署的 Active Directory訊號的雲端式安全性解決方案。 此解決方案可高度擴充且經常更新。

相較於 ATA 感測器,適用於身分識別的 Defender 感測器也會使用數據源,例如 Windows 事件追蹤 (ETW),讓適用於身分識別的 Defender 提供額外的偵測。 適用於身分識別的Defender也提供:

適用於身分識別的 Defender 也會使用 Microsoft 365 安全性組合來自動分析跨網域威脅數據,並在單一儀錶板中建置每個攻擊的完整畫面。

重要

此移轉指南專為適用於身分識別的Defender感測器所設計,而非獨立感測器。

雖然您可以從任何 ATA 版本移轉至適用於身分識別的 Defender,但 ATA 資料不會移轉。 因此,我們建議您計劃保留 ATA 資料中心和進行中調查所需的任何警示,直到所有 ATA 警示都關閉或補救為止。

注意

ATA 的最終版本已正式推出。 ATA 於 2021 年 1 月 12 日終止了主流支援。 外延支援將持續到 2026 年 1 月。 如需詳細資訊,請閱讀 我們的部落格

必要條件

若要從 ATA 移轉至適用於身分識別的 Defender,您必須有符合適用於身分識別的 Defender 感測器需求的環境和域控制器。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件

請確定您打算使用的所有域控制器都有足夠的因特網存取適用於身分識別的 Defender 服務。 如需詳細資訊,請參閱 設定端點 Proxy 和因特網聯機設定

規劃移轉

開始移轉之前,請先收集下列所有資訊:

警告

在移除所有 ATA 閘道之前,請勿卸載 ATA 中心。 使用 ATA 閘道卸載 ATA 中心仍在執行中,您的組織不會受到威脅防護。

移至適用於身分識別的Defender

使用下列步驟移轉至適用於身分識別的Defender:

  1. 建立新的適用於身分識別的Defender工作區

  2. 將所有域控制器上的 ATA 輕量型閘道卸載。

  3. 在所有域控制器上安裝適用於身分識別的 Defender 感測器:

    1. 下載適用於身分識別的 Defender 感測器檔案 ,並擷取存取密鑰。

    2. 在您的域控制器上安裝適用於身分識別的Defender感測器。

  4. 設定適用於身分識別的Defender感測器

移轉完成後,允許完成初始同步處理兩小時,再繼續進行驗證工作。

驗證移轉

在 Microsoft Defender 全面偵測回應 中,檢查下列區域來驗證您的移轉:

移轉後活動

完成移轉至適用於身分識別的 Defender 之後,請執行下列動作來清除舊版 ATA 資源:

  1. 請確定您已記錄或補救所有現有的 ATA 警示。 現有的 ATA 安全性警示不會透過移轉匯入適用於身分識別的 Defender。

  2. 執行下列其中一項或兩項作業:

    • 解除委任 ATA 中心。 我們建議將 ATA 數據保持在在線一段時間。
    • 如果您想要無限期地保留 ATA 數據,請備份 Mongo DB 。 如需詳細資訊,請參閱 備份 ATA 資料庫

移轉至適用於身分識別的Defender之後,請深入瞭解在 Microsoft Defender 全面偵測回應 中調查警示。 如需詳細資訊,請參閱