Advanced Threat Analytics (ATA) Microsoft Defender for Identity

Tässä artikkelissa kerrotaan, miten voit siirtyä aiemmin luodusta ATA-asennuksesta Microsoft Defender for Identity tunnistimeen, ja annetaan seuraavat vaiheet:

• Tarkista ja vahvista Defenderin käyttäjätietopalvelun edellytykset
• Aiemmin luodun ATA-määrityksen dokumentointi
• Siirron suunnitteleminen
• Defender for Identity -palvelun määrittäminen ja määrittäminen
• Siirron jälkeisten tarkistusten ja tarkistusten suorittaminen
• Käytöstä poistamisen ATA

ATA on itsenäinen paikallinen ratkaisu, jossa on useita osia, kuten ATA-keskus, joka edellyttää erillistä laitteistoa paikallisesti.

Defender for Identity on pilvipohjainen suojausratkaisu, joka käyttää paikallinen Active Directory signaalejasi. Ratkaisu on erittäin skaalattava, ja sitä päivitetään usein.

Toisin kuin ATA-tunnistin, Defender for Identity -tunnistin käyttää myös tietolähteitä, kuten Windowsin tapahtumien seurantaa (ETW), jonka avulla Defender for Identity voi toimittaa ylimääräisiä tunnistuksia. Defender for Identity tarjoaa myös:

• Usean toimialuepuuryhmän ympäristöjen tuki
• Microsoft secure score -tilan arvioinnit
• UEBA-ominaisuudet
• Suorat integroinnit muihin palveluihin, kuten Microsoft Defender for Cloud Apps ja Microsoft Entra, hybridinäkymäksi sekä paikallisista että hybridiympäristöistä
• Ja paljon muuta

Defender for Identity käyttää myös Microsoft 365 -suojaussalkkua analysoidakseen automaattisesti toimialueiden välisiä uhkatietoja ja luodakseen kokonaiskuvan jokaisesta hyökkäyksestä yhdessä koontinäytössä.

Tärkeää

Tämä siirto-opas on suunniteltu vain Defender for Identity -tunnistimia varten, ei erillisille antureille.

Vaikka voitkin siirtyä Defender for Identityen mistä tahansa ATA-versiosta, ATA-tietojasi ei siirretä. Siksi suosittelemme, että aiot säilyttää ATA-tietokeskuksesi ja kaikki käynnissä olevissa tutkimuksissa tarvittavat hälytykset, kunnes kaikki ATA-hälytykset suljetaan tai korjataan.

Huomautus

ATA:n lopullinen versio on yleisesti saatavilla. ATA lopetti Mainstream-tuen 12.1.2021. Laajennettu tuki jatkuu tammikuuhun 2026 asti. Lisätietoja on blogissamme.

Ennakkovaatimukset

Jotta voit siirtyä ATA:sta Defender for Identityen, sinulla on oltava ympäristö ja toimialueen ohjauskoneet, jotka täyttävät Defender for Identity -tunnistimen vaatimukset. Lisätietoja on kohdassa Microsoft Defender for Identity edellytykset.

Varmista, että kaikilla toimialueen ohjauskoneilla, joita aiot käyttää, on riittävä Internet-yhteys Defender for Identity -palveluun. Lisätietoja on kohdassa Päätepisteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen.

Siirron suunnitteleminen

Kerää ennen siirron aloittamista kaikki seuraavat tiedot:

• Hakemistopalvelutilin tilitiedot.

• Syslog-ilmoitusasetukset.

• Sähköposti-ilmoituksen tiedot.

• Kaikki ATA-rooliryhmän jäsenyydet.

• VPN-integroinnin tiedot.

• Poissulkemiset ilmoituksista. Poissulkemiset eivät ole siirrettävissä ATA:sta Defender for Identityen, joten jokaisen poissulkemisen tiedot vaaditaan, jotta poikkeukset voidaan toistaa Defender for Identityn Microsoft Defender XDR.

• Entiteettitunnisteiden tilitiedot. Jos sinulla ei vielä ole varattuja entiteettitunnisteita, luo uusia, joita voit käyttää Defender for Identityn kanssa. Lisätietoja on artikkelissa Defender for Identity -entiteettitunnisteet Microsoft Defender XDR.

• Täydellinen luettelo kaikista entiteeteistä, kuten tietokoneista, ryhmistä tai käyttäjistä, jotka haluat merkitä manuaalisesti Luottamuksellisiksi entiteeteiksi. Lisätietoja on artikkelissa Defender for Identity -entiteettitunnisteet Microsoft Defender XDR.

• Raportin ajoitustiedot, mukaan lukien luettelo kaikista raporteista ja ajoitettu ajoitus.

Varoitus

Älä poista ATA Centerin asennusta, ennen kuin kaikki ATA-yhdyskäytävät on poistettu. ATA-keskuksen asennuksen poistaminen ATA-yhdyskäytävien ollessa yhä käynnissä jättää organisaatiosi avoimeksi ilman uhkien suojausta.

Siirry Defender for Identityen

Siirry Defender for Identityen seuraavien vaiheiden avulla:

1. Luo uusi Defender for Identity -työtila.

2. Poista ATA Lightweight Gatewayn asennus kaikista toimialueen ohjauskoneista.

3. Asenna Defender for Identity Sensor kaikkiin toimialueen ohjauskoneisiin:

   1. Lataa Defender for Identity -tunnistintiedostot ja nouda käyttöoikeusavain.

   2. Asenna Defender for Identity -tunnistimet toimialueen ohjauskoneisiin.

4. Määritä Defender for Identity -tunnistin.

Kun siirto on valmis, salli kaksi tuntia ensimmäisen synkronoinnin valmistumiselle, ennen kuin jatkat vahvistustehtävien suorittamista.

Siirron vahvistaminen

Tarkista Microsoft Defender XDR seuraavat alueet siirron vahvistamiseksi:

• Tarkista mahdolliset kunto-ongelmat palveluongelmien varalta.
• Tarkista Defender for Identity sensorin virhelokit epätavallisten virheiden varalta.

Siirron jälkeiset toimet

Kun olet suorittanut siirron Defender for Identityen, puhdista vanhat ATA-resurssisi seuraavasti:

1. Varmista, että olet tallentanut tai korjannut kaikki olemassa olevat ATA-ilmoitukset. Aiemmin luotuja ATA-suojausilmoituksia ei tuoda Defender for Identityen siirron yhteydessä.

2. Tee jompikumpi tai molemmat seuraavista:

   • Poista käytöstä ATA-keskus. Suosittelemme, että pidät ATA-tiedot verkossa jonkin aikaa.
   • Varmuuskopioi Mongo DB , jos haluat säilyttää ATA-tiedot loputtomasti. Lisätietoja on kohdassa ATA-tietokannan varmuuskopiointi.

Aiheeseen liittyvät tiedot

Siirryttyään Defender for Identityen saat lisätietoja ilmoitusten tutkimisesta Microsoft Defender XDR. Lisätietoja on seuraavissa artikkeleissa:

• Suojaushälytysten ymmärtäminen
• Tutki Defender for Identityn suojaushälytyksiä Microsoft Defender XDR