Análisis avanzado de amenazas (ATA) para Microsoft Defender for Identity
En este artículo se describe cómo migrar desde una instalación de ATA existente a un sensor de Microsoft Defender for Identity e incluye los pasos siguientes:
- Revisión y confirmación de los requisitos previos del servicio Defender for Identity
- Documentar la configuración de ATA existente
- Planear la migración
- Configuración y configuración del servicio Defender for Identity
- Realizar comprobaciones y comprobaciones posteriores a la migración
- Retirar ATA
ATA es una solución local independiente con varios componentes, como el Centro ATA, que requiere hardware dedicado local.
Defender for Identity es una solución de seguridad basada en la nube que usa las señales de Active Directory local. La solución es altamente escalable y se actualiza con frecuencia.
A diferencia del sensor de ATA, el sensor de Defender for Identity también usa orígenes de datos, como seguimiento de eventos para Windows (ETW), lo que permite que Defender for Identity ofrezca detecciones adicionales. Defender for Identity también proporciona:
- Compatibilidad con entornos de varios bosques
- Evaluaciones de la posición de puntuación segura de Microsoft
- Funcionalidades de UEBA
- Integraciones directas con otros servicios, como Microsoft Defender for Cloud Apps y Microsoft Entra, para obtener una vista híbrida de lo que se está produciendo en entornos locales e híbridos
- Y más
Defender for Identity también usa la cartera de seguridad de Microsoft 365 para analizar automáticamente los datos de amenazas entre dominios, creando una imagen completa de cada ataque en un único panel.
Importante
Esta guía de migración está diseñada solo para sensores de Defender for Identity y no para sensores independientes.
Aunque puede migrar a Defender for Identity desde cualquier versión de ATA, los datos de ATA no se migran. Por lo tanto, se recomienda conservar el Centro de datos de ATA y las alertas necesarias para las investigaciones en curso hasta que se cierren o corrijan todas las alertas de ATA.
Nota:
La versión final de ATA está disponible con carácter general. ATA finalizó mainstream support el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Para obtener más información, lea nuestro blog.
Requisitos previos
Para migrar de ATA a Defender for Identity, debe tener un entorno y controladores de dominio que cumplan los requisitos del sensor de Defender for Identity. Para obtener más información, consulte Microsoft Defender for Identity requisitos previos.
Asegúrese de que todos los controladores de dominio que tiene previsto usar tengan suficiente acceso a Internet al servicio Defender for Identity. Para obtener más información, consulte Configuración del proxy de punto de conexión y la conectividad a Internet.
Planear la migración
Antes de iniciar la migración, recopile toda la información siguiente:
Detalles de la cuenta de Servicios de directorio.
Configuración de notificación de Syslog.
Email detalles de la notificación.
Todas las pertenencias a grupos de roles de ATA.
Exclusiones de alertas. Las exclusiones no se pueden transferir de ATA a Defender for Identity, por lo que se requieren detalles de cada exclusión para replicar las exclusiones como Defender for Identity en Microsoft Defender XDR.
Detalles de la cuenta de las etiquetas de entidad. Si aún no tiene etiquetas de entidad dedicadas, cree otras para usarlas con Defender for Identity. Para obtener más información, consulte Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR.
Una lista completa de todas las entidades, como equipos, grupos o usuarios, que desea etiquetar manualmente como entidades confidenciales. Para obtener más información, consulte Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR.
Detalles de programación de informes, incluida una lista de todos los informes y el tiempo programado.
Precaución
No desinstale el Centro ATA hasta que se quiten todas las puertas de enlace de ATA. Desinstalar el Centro ATA con puertas de enlace de ATA todavía en ejecución deja a su organización expuesta sin protección contra amenazas.
Traslado a Defender for Identity
Siga estos pasos para migrar a Defender for Identity:
Desinstale la puerta de enlace ligera de ATA en todos los controladores de dominio.
Instale el sensor de Defender for Identity en todos los controladores de dominio:
Una vez completada la migración, espere dos horas para que se complete la sincronización inicial antes de continuar con las tareas de validación.
Validación de la migración
En Microsoft Defender XDR, compruebe las siguientes áreas para validar la migración:
- Revise los problemas de mantenimiento para ver si hay signos de problemas de servicio.
- Revise los registros de errores del sensor de Defender for Identity para ver si hay errores inusuales.
Actividades posteriores a la migración
Después de completar la migración a Defender for Identity, haga lo siguiente para limpiar los recursos de ATA heredados:
Asegúrese de que ha registrado o corregido todas las alertas de ATA existentes. Las alertas de seguridad de ATA existentes no se importan a Defender for Identity con la migración.
Siga uno de estos procedimientos o ambos:
- Retirar el Centro ATA. Se recomienda mantener los datos de ATA en línea durante un período de tiempo.
- Realice una copia de seguridad de Mongo DB si desea mantener los datos de ATA indefinidamente. Para obtener más información, consulte Copia de seguridad de la base de datos de ATA.
Información relacionada
Después de migrar a Defender for Identity, obtenga más información sobre la investigación de alertas en Microsoft Defender XDR. Para más información, vea: