Advanced Threat Analytics (ATA) をMicrosoft Defender for Identityする

この記事では、既存の ATA インストールからMicrosoft Defender for Identity センサーに移行する方法について説明し、次の手順を説明します。

• Defender for Identity サービスの前提条件を確認して確認する
• 既存の ATA 構成を文書化する
• 移行の計画
• Defender for Identity サービスを設定して構成する
• 移行後のチェックと検証の実行
• ATA の使用停止

ATA は、オンプレミス専用のハードウェアを必要とする ATA センターなどの複数のコンポーネントを備えたスタンドアロンのオンプレミス ソリューションです。

Defender for Identity は、オンプレミスの Active Directoryシグナルを使用するクラウドベースのセキュリティ ソリューションです。 このソリューションは拡張性が高く、頻繁に更新されます。

ATA センサーとは対照的に、Defender for Identity センサーでは、イベント トレーシング for Windows (ETW) などのデータ ソースも使用されるため、Defender for Identity は追加の検出を実現できます。 Defender for Identity には、次の機能もあります。

• マルチフォレスト環境のサポート
• Microsoft Secure Score のポスチャ評価
• UEBA 機能
• Microsoft Defender for Cloud AppsやMicrosoft Entraなどの他のサービスと直接統合して、オンプレミス環境とハイブリッド環境の両方で何が起こっているかをハイブリッド ビューで確認できます
• その他

Defender for Identity では、Microsoft 365 セキュリティ ポートフォリオを使用してドメイン間の脅威データを自動的に分析し、1 つのダッシュボードで各攻撃の全体像を構築します。

重要

この移行ガイドは、Defender for Identity センサー専用であり、スタンドアロン センサーには設計されていません。

任意の ATA バージョンから Defender for Identity に移行できますが、ATA データは移行されません。 そのため、ATA データ センターと、すべての ATA アラートが閉じられるか修復されるまで、進行中の調査に必要なアラートを保持することを計画することをお勧めします。

注:

ATA の最終リリースが 一般公開されます。 ATA は 2021 年 1 月 12 日にメインストリーム サポートを終了しました。 延長サポートは 2026 年 1 月まで継続されます。 詳細については、 ブログを参照してください。

前提条件

ATA から Defender for Identity に移行するには、Defender for Identity センサーの要件を満たす環境とドメイン コントローラーが必要です。 詳細については、「Microsoft Defender for Identity前提条件」を参照してください。

使用する予定のすべてのドメイン コントローラーが、Defender for Identity サービスへの十分なインターネット アクセス権を持っていることを確認します。 詳細については、「 エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。

移行の計画

移行を開始する前に、次のすべての情報を収集します。

• Directory Services アカウントのアカウントの詳細。

• Syslog 通知 設定。

• 通知の詳細をEmailします。

• すべての ATA ロール グループ メンバーシップ。

• VPN 統合の詳細。

• アラートの除外。 除外は ATA から Defender for Identity に転送できないため、Microsoft Defender XDRで Defender for Identity として除外をレプリケートするには、各除外の詳細が必要です。

• エンティティ タグのアカウントの詳細。 専用エンティティ タグがまだない場合は、Defender for Identity で使用する新しいエンティティ タグを作成します。 詳細については、「Microsoft Defender XDRの Defender for Identity エンティティ タグ」を参照してください。

• 手動で 機密 エンティティとしてタグ付けするすべてのエンティティ (コンピューター、グループ、ユーザーなど) の完全な一覧。 詳細については、「Microsoft Defender XDRの Defender for Identity エンティティ タグ」を参照してください。

• すべてのレポートの一覧やスケジュールされたタイミングなど、レポートのスケジュール設定の詳細。

注意

すべての ATA ゲートウェイが削除されるまで、ATA センターをアンインストールしないでください。 ATA ゲートウェイが引き続き実行されている ATA センターをアンインストールすると、脅威保護なしでorganizationが公開されます。

Defender for Identity に移動する

Defender for Identity に移行するには、次の手順に従います。

1. 新しい Defender for Identity ワークスペースを作成します。

2. すべてのドメイン コントローラーで ATA ライトウェイト ゲートウェイをアンインストールします。

3. すべてのドメイン コントローラーに Defender for Identity Sensor をインストールします。

   1. Defender for Identity センサー ファイルをダウンロード し、アクセス キーを取得します。

   2. ドメイン コントローラーに Defender for Identity センサーをインストールします。

4. Defender for Identity センサーを構成します。

移行が完了したら、最初の同期が完了するまでに 2 時間待ってから、検証タスクを実行します。

移行を検証する

Microsoft Defender XDRで、次の領域をチェックして移行を検証します。

• サービス の問題 の兆候に関する正常性の問題を確認します。
• 異常なエラーがないか、Defender for Identity センサーのエラー ログ を確認します。

移行後のアクティビティ

Defender for Identity への移行が完了したら、次の手順に従って、レガシ ATA リソースをクリーンします。

1. 既存のすべての ATA アラートを記録または修復したことを確認します。 既存の ATA セキュリティ アラートは、移行時に Defender for Identity にインポートされません。

2. 次の一方または両方を行います。

   • ATA センターの使用を停止します。 ATA データを一定期間オンラインにしておくことをお勧めします。
   • ATA データを無期限に保持する場合は、Mongo DB をバックアップします。 詳細については、「 ATA データベースのバックアップ」を参照してください。

関連情報

Defender for Identity に移行した後、Microsoft Defender XDRでのアラートの調査の詳細を確認してください。 詳細については、以下を参照してください:

• セキュリティ アラートについて
• Microsoft Defender XDRで Defender for Identity セキュリティ アラートを調査する