ATA (Advanced Threat Analytics) til Microsoft Defender for Identity

I denne artikel beskrives det, hvordan du overfører fra en eksisterende ATA-installation til en Microsoft Defender for Identity sensor, og den indeholder følgende trin:

• Gennemse og bekræft forudsætningerne for Defender for Identity Service
• Dokumentér din eksisterende ATA-konfiguration
• Planlæg din migrering
• Konfigurer din Defender for Identity-tjeneste
• Udfør kontroller og bekræftelser efter overførsel
• Demonter ATA

ATA er en separat løsning i det lokale miljø med flere komponenter, f.eks. ATA Center, der kræver dedikeret hardware i det lokale miljø.

Defender for Identity er en cloudbaseret sikkerhedsløsning, der bruger dine Active Directory i det lokale miljø signaler. Løsningen er yderst skalerbar og opdateres ofte.

I modsætning til ATA-sensoren bruger Defender for Identity-sensoren også datakilder som Event Tracing for Windows (ETW), så Defender for Identity kan levere ekstra registreringer. Defender for Identity indeholder også:

• Understøttelse af miljøer med flere områder
• Vurderinger af Microsoft Secure Score-stilling
• UEBA-funktioner
• Direkte integrationer med andre tjenester som Microsoft Defender for Cloud Apps og Microsoft Entra for at få et hybridt overblik over, hvad der sker i både det lokale miljø og hybridmiljøer
• Og meget mere

Defender for Identity bruger også Microsoft 365-sikkerhedsporteføljen til automatisk at analysere trusselsdata på tværs af domæner og opbygger et komplet billede af hvert angreb på et enkelt dashboard.

Vigtigt!

Denne migreringsvejledning er kun beregnet til Defender for Identity-sensorer og ikke separate sensorer.

Selvom du kan migrere til Defender for Identity fra en hvilken som helst ATA-version, overføres dine ATA-data ikke. Vi anbefaler derfor, at du planlægger at bevare dit ATA-datacenter og eventuelle beskeder, der kræves til igangværende undersøgelser, indtil alle ATA-beskeder lukkes eller afhjælpes.

Bemærk!

Den endelige version af ATA er offentlig tilgængelig. ATA ophørt med generel support den 12. januar 2021. Udvidet support fortsætter indtil januar 2026. Du kan få flere oplysninger på vores blog.

Forudsætninger

Hvis du vil migrere fra ATA til Defender for Identity, skal du have et miljø og domænecontrollere, der opfylder Defender for Identity-sensorkrav. Du kan få flere oplysninger under Microsoft Defender for Identity forudsætninger.

Sørg for, at alle de domænecontrollere, du planlægger at bruge, har tilstrækkelig internetadgang til Defender for Identity-tjenesten. Du kan finde flere oplysninger under Konfigurer indstillinger for slutpunktproxy og internetforbindelse.

Planlæg din migrering

Før du starter overførslen, skal du indsamle alle følgende oplysninger:

• Kontooplysninger for din Directory Services-konto.

• Syslog-meddelelsesindstillinger.

• Oplysninger om meddelelse via mail.

• Alle ATA-rollegruppemedlemskaber.

• Oplysninger om VPN-integration.

• Undtagelser for beskeder. Udelukkelser kan ikke overføres fra ATA til Defender for Identity, så der kræves oplysninger om hver udelukkelse for at replikere udelukkelserne som Defender for Identity i Microsoft Defender XDR.

• Kontooplysninger for enhedskoder. Hvis du ikke allerede har dedikerede enhedstags, kan du oprette nye, der skal bruges sammen med Defender for Identity. Du kan få flere oplysninger under Defender for Identity entity tags i Microsoft Defender XDR.

• En komplet liste over alle enheder, f.eks. computere, grupper eller brugere, som du manuelt vil mærke som følsomme enheder. Du kan få flere oplysninger under Defender for Identity entity tags i Microsoft Defender XDR.

• Oplysninger om rapportplanlægning, herunder en liste over alle rapporter og planlagt tidspunkt.

Forsigtighed

Fjern ikke ATA Center, før alle ATA Gateways er fjernet. Hvis du fjerner ATA Center med ATA Gateways, der stadig kører, bliver din organisation eksponeret uden trusselsbeskyttelse.

Flyt til Defender for Identity

Brug følgende trin til at migrere til Defender for Identity:

1. Opret dit nye arbejdsområde for Defender for Identity.

2. Fjern ATA Lightweight Gateway på alle domænecontrollere.

3. Installér Defender for Identity Sensor på alle domænecontrollere:

   1. Download Defender for Identity-sensorfilerne , og hent adgangsnøglen.

   2. Installér Defender for Identity-sensorer på dine domænecontrollere.

4. Konfigurer Defender for Identity-sensoren.

Når migreringen er fuldført, kan den indledende synkronisering være fuldført i to timer, før du fortsætter med valideringsopgaver.

Valider din migrering

I Microsoft Defender XDR skal du kontrollere følgende områder for at validere din migrering:

• Gennemse eventuelle tilstandsproblemer for at se tegn på tjenesteproblemer.
• Gennemse Defender for Identity-sensorfejllogge for eventuelle usædvanlige fejl.

Aktiviteter efter migrering

Når du har fuldført din migrering til Defender for Identity, skal du gøre følgende for at rydde op i dine ældre ATA-ressourcer:

1. Sørg for, at du har optaget eller løst alle eksisterende ATA-beskeder. Eksisterende ATA-sikkerhedsbeskeder importeres ikke til Defender for Identity med migreringen.

2. Gør et eller begge af følgende:

   • Demonter ATA Center. Vi anbefaler, at du holder ATA-data online i en periode.
   • Sikkerhedskopiér Mongo DB , hvis du vil beholde ATA-dataene på ubestemt tid. Du kan få flere oplysninger under Sikkerhedskopiering af ATA-databasen.

Relaterede oplysninger

Når du har overført til Defender for Identity, kan du få mere at vide om undersøgelse af beskeder i Microsoft Defender XDR. Du kan finde flere oplysninger under:

• Om sikkerhedsbeskeder
• Undersøg sikkerhedsbeskeder fra Defender for Identity i Microsoft Defender XDR