Advanced Threat Analytics (ATA) zum Microsoft Defender for Identity
In diesem Artikel wird beschrieben, wie Sie von einer vorhandenen ATA-Installation zu einem Microsoft Defender for Identity-Sensor migrieren, und enthält die folgenden Schritte:
- Überprüfen und Bestätigen der Voraussetzungen für den Defender for Identity-Dienst
- Dokumentieren Ihrer vorhandenen ATA-Konfiguration
- Planen der Migration
- Einrichten und Konfigurieren Ihres Defender for Identity-Diensts
- Durchführen von Überprüfungen und Überprüfungen nach der Migration
- Außerbetriebnahme von ATA
ATA ist eine eigenständige lokale Lösung mit mehreren Komponenten, z. B. ATA Center, für die lokal dedizierte Hardware erforderlich ist.
Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokales Active Directory Signale verwendet. Die Lösung ist hochgradig skalierbar und wird häufig aktualisiert.
Im Gegensatz zum ATA-Sensor verwendet der Defender for Identity-Sensor auch Datenquellen wie die Ereignisablaufverfolgung für Windows (ETW), sodass Defender for Identity zusätzliche Erkennungen bereitstellen kann. Defender for Identity bietet außerdem Folgendes:
- Unterstützung für Umgebungen mit mehreren Gesamtstrukturen
- Bewertungen des Microsoft Secure Score-Status
- UEBA-Funktionen
- Direkte Integrationen mit anderen Diensten wie Microsoft Defender for Cloud Apps und Microsoft Entra für eine hybride Ansicht der Vorgänge in lokalen und Hybridumgebungen
- Und mehr
Defender for Identity verwendet auch das Microsoft 365-Sicherheitsportfolio, um domänenübergreifende Bedrohungsdaten automatisch zu analysieren und ein vollständiges Bild von jedem Angriff in einem einzigen Dashboard zu erstellen.
Wichtig
Dieser Migrationsleitfaden ist nur für Defender for Identity-Sensoren und nicht für eigenständige Sensoren konzipiert.
Sie können zwar von jeder ATA-Version zu Defender for Identity migrieren, Ihre ATA-Daten werden jedoch nicht migriert. Daher empfehlen wir, dass Sie planen, Ihr ATA-Rechenzentrum und alle Warnungen, die für laufende Untersuchungen erforderlich sind, beizubehalten, bis alle ATA-Warnungen geschlossen oder behoben werden.
Hinweis
Die endgültige Version von ATA ist allgemein verfügbar. ATA hat den allgemeinen Support am 12. Januar 2021 beendet. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.
Voraussetzungen
Um von ATA zu Defender for Identity migrieren zu können, benötigen Sie eine Umgebung und Domänencontroller, die die Anforderungen des Defender for Identity-Sensors erfüllen. Weitere Informationen finden Sie unter Microsoft Defender for Identity Voraussetzungen.
Stellen Sie sicher, dass alle Domänencontroller, die Sie verwenden möchten, über ausreichendEn Internetzugriff auf den Defender for Identity-Dienst verfügen. Weitere Informationen finden Sie unter Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen.
Planen der Migration
Bevor Sie mit der Migration beginnen, sammeln Sie alle folgenden Informationen:
Kontodetails für Ihr Verzeichnisdienstekonto.
Email Benachrichtigungsdetails.
Warnungsausschlüsse. Ausschlüsse sind nicht von ATA auf Defender for Identity übertragbar, sodass Details zu jedem Ausschluss erforderlich sind, um die Ausschlüsse als Defender for Identity in Microsoft Defender XDR zu replizieren.
Kontodetails für Entitätstags. Wenn Sie noch nicht über dedizierte Entitätstags verfügen, erstellen Sie neue Tags für die Verwendung mit Defender for Identity. Weitere Informationen finden Sie unter Defender for Identity-Entitätstags in Microsoft Defender XDR.
Eine vollständige Liste aller Entitäten, z. B. Computer, Gruppen oder Benutzer, die Sie manuell als vertrauliche Entitäten markieren möchten. Weitere Informationen finden Sie unter Defender for Identity-Entitätstags in Microsoft Defender XDR.
Berichtsplanungsdetails, einschließlich einer Liste aller Berichte und der geplanten Zeitplanung.
Achtung
Deinstallieren Sie ATA Center erst, wenn alle ATA-Gateways entfernt wurden. Wenn Sie ATA Center mit noch ausgeführten ATA-Gateways deinstallieren, bleibt Ihr organization ohne Bedrohungsschutz verfügbar.
Wechseln zu Defender for Identity
Führen Sie die folgenden Schritte aus, um zu Defender for Identity zu migrieren:
Erstellen Sie Ihren neuen Defender for Identity-Arbeitsbereich.
Deinstallieren Sie ata Lightweight Gateway auf allen Domänencontrollern.
Installieren Sie den Defender for Identity-Sensor auf allen Domänencontrollern:
Laden Sie die Defender for Identity-Sensordateien herunter , und rufen Sie den Zugriffsschlüssel ab.
Installieren Sie Defender for Identity-Sensoren auf Ihren Domänencontrollern.
Nachdem die Migration abgeschlossen ist, warten Sie zwei Stunden, bis die erste Synchronisierung abgeschlossen ist, bevor Sie mit Überprüfungsaufgaben fortfahren.
Überprüfen Der Migration
Überprüfen Sie Microsoft Defender XDR die folgenden Bereiche, um Ihre Migration zu überprüfen:
- Überprüfen Sie alle Integritätsprobleme auf Anzeichen von Dienstproblemen.
- Überprüfen Sie die Fehlerprotokolle des Defender for Identity-Sensors auf ungewöhnliche Fehler.
Aktivitäten nach der Migration
Führen Sie nach Abschluss der Migration zu Defender for Identity die folgenden Schritte aus, um Ihre ata-Legacyressourcen zu sauber:
Stellen Sie sicher, dass Sie alle vorhandenen ATA-Warnungen aufgezeichnet oder korrigiert haben. Vorhandene ATA-Sicherheitswarnungen werden bei der Migration nicht in Defender for Identity importiert.
Führen Sie eine oder beide der folgenden Aktionen aus:
- Außerbetriebnahme von ATA Center. Es wird empfohlen, ATA-Daten für einen bestimmten Zeitraum online zu halten.
- Sichern Sie Mongo DB , wenn Sie die ATA-Daten unbegrenzt beibehalten möchten. Weitere Informationen finden Sie unter Sichern der ATA-Datenbank.
Verwandte Informationen
Nach der Migration zu Defender for Identity erfahren Sie mehr über das Untersuchen von Warnungen in Microsoft Defender XDR. Weitere Informationen finden Sie unter: