Da Advanced Threat Analytics (ATA) a Microsoft Defender per identità

Questo articolo descrive come eseguire la migrazione da un'installazione ATA esistente a un sensore Microsoft Defender per identità e include i passaggi seguenti:

• Esaminare e confermare i prerequisiti del servizio Defender per identità
• Documentare la configurazione ATA esistente
• Pianificare la migrazione
• Configurare e configurare il servizio Defender per identità
• Eseguire controlli e verifiche post-migrazione
• Rimuovere le autorizzazioni ATA

ATA è una soluzione locale autonoma con più componenti, ad esempio ATA Center che richiede hardware dedicato in locale.

Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali di Active Directory locale. La soluzione è altamente scalabile e viene aggiornata di frequente.

A differenza del sensore ATA, il sensore Defender per identità usa anche origini dati, ad esempio Event Tracing for Windows (ETW) che consentono a Defender for Identity di fornire rilevamenti aggiuntivi. Defender per identità offre anche:

• Supporto per ambienti con più foreste
• Valutazioni della postura di Microsoft Secure Score
• Funzionalità UEBA
• Integrazioni dirette con altri servizi come Microsoft Defender for Cloud Apps e Microsoft Entra per una visione ibrida di ciò che avviene sia in ambienti locali che ibridi
• Altri aspetti

Defender per identità usa anche il portfolio di sicurezza di Microsoft 365 per analizzare automaticamente i dati sulle minacce tra domini, creando un quadro completo di ogni attacco in un singolo dashboard.

Importante

Questa guida alla migrazione è progettata solo per i sensori Defender per identità e non per i sensori autonomi.

Anche se è possibile eseguire la migrazione a Defender per identità da qualsiasi versione di ATA, i dati ATA non vengono migrati. È pertanto consigliabile pianificare la conservazione del data center ATA e degli avvisi necessari per le indagini in corso fino a quando tutti gli avvisi ATA non vengono chiusi o corretti.

Nota

La versione finale di ATA è disponibile a livello generale. ATA ha terminato il supporto Mainstream il 12 gennaio 2021. Il supporto esteso continuerà fino a gennaio 2026. Per altre informazioni, leggere il blog.

Prerequisiti

Per eseguire la migrazione da ATA a Defender per identità, è necessario disporre di un ambiente e di controller di dominio che soddisfino i requisiti del sensore Defender per identità. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.

Assicurarsi che tutti i controller di dominio che si prevede di usare dispongano di un accesso Internet sufficiente al servizio Defender per identità. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.

Pianificare la migrazione

Prima di avviare la migrazione, raccogliere tutte le informazioni seguenti:

• Dettagli dell'account per l'account di Servizi directory.

• Impostazioni di notifica syslog.

• Email dettagli della notifica.

• Tutte le appartenenze ai gruppi di ruoli ATA.

• Dettagli di integrazione VPN.

• Esclusioni di avvisi. Le esclusioni non sono trasferibili da ATA a Defender per identità, pertanto i dettagli di ogni esclusione sono necessari per replicare le esclusioni come Defender per identità in Microsoft Defender XDR.

• Dettagli dell'account per i tag di entità. Se non si dispone già di tag di entità dedicati, crearne di nuovi da usare con Defender per identità. Per altre informazioni, vedere Tag di entità defender per identità in Microsoft Defender XDR.

• Elenco completo di tutte le entità, ad esempio computer, gruppi o utenti, che si desidera contrassegnare manualmente come entità sensibili. Per altre informazioni, vedere Tag di entità defender per identità in Microsoft Defender XDR.

• Dettagli sulla pianificazione dei report, incluso un elenco di tutti i report e i tempi pianificati.

Attenzione

Non disinstallare ATA Center finché non vengono rimossi tutti i gateway ATA. La disinstallazione di ATA Center con gateway ATA ancora in esecuzione lascia l'organizzazione esposta senza protezione dalle minacce.

Passare a Defender per identità

Per eseguire la migrazione a Defender per identità, seguire questa procedura:

1. Creare la nuova area di lavoro Defender per identità.

2. Disinstallare il gateway ATA Lightweight in tutti i controller di dominio.

3. Installare Defender per Identity Sensor in tutti i controller di dominio:

   1. Scaricare i file del sensore defender per identità e recuperare la chiave di accesso.

   2. Installare i sensori di Defender per identità nei controller di dominio.

4. Configurare il sensore defender per identità.

Al termine della migrazione, attendere due ore per il completamento della sincronizzazione iniziale prima di procedere con le attività di convalida.

Convalidare la migrazione

In Microsoft Defender XDR controllare le aree seguenti per convalidare la migrazione:

• Esaminare eventuali problemi di integrità per i segni di problemi di servizio.
• Esaminare i log degli errori del sensore defender per identità per eventuali errori insoliti.

Attività post-migrazione

Dopo aver completato la migrazione a Defender per identità, eseguire le operazioni seguenti per pulire le risorse ATA legacy:

1. Assicurarsi di aver registrato o corretto tutti gli avvisi ATA esistenti. Gli avvisi di sicurezza ATA esistenti non vengono importati in Defender per identità con la migrazione.

2. Eseguire una o entrambe le operazioni seguenti:

   • Rimuovere il centro ATA. È consigliabile mantenere online i dati ATA per un periodo di tempo.
   • Eseguire il backup di Mongo DB se si desidera mantenere i dati ATA a tempo indeterminato. Per altre informazioni, vedere Backup del database ATA.

Informazioni correlate

Dopo la migrazione a Defender per identità, altre informazioni sull'analisi degli avvisi in Microsoft Defender XDR. Per altre informazioni, vedere:

• Informazioni sugli avvisi di sicurezza
• Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR