ATA(Advanced Threat Analytics)에서 Microsoft Defender for Identity

이 문서에서는 기존 ATA 설치에서 Microsoft Defender for Identity 센서로 마이그레이션하는 방법을 설명하고 다음 단계를 포함합니다.

• Defender for Identity 서비스 필수 구성 요소 검토 및 확인
• 기존 ATA 구성 문서화
• 마이그레이션 계획
• Defender for Identity 서비스 설정 및 구성
• 마이그레이션 후 검사 및 확인 수행
• ATA 서비스 해제

ATA는 전용 하드웨어 온-프레미스가 필요한 ATA 센터와 같은 여러 구성 요소가 있는 독립 실행형 온-프레미스 솔루션입니다.

Defender for Identity는 온-프레미스 Active Directory 신호를 사용하는 클라우드 기반 보안 솔루션입니다. 솔루션은 확장성이 뛰어나며 자주 업데이트됩니다.

ATA 센서와 달리 Defender for Identity 센서는 ETW(Windows용 이벤트 추적)와 같은 데이터 원본을 사용하여 Defender for Identity가 추가 검색을 제공할 수 있도록 합니다. 또한 Defender for Identity는 다음을 제공합니다.

• 다중 포리스트 환경에 대한 지원
• Microsoft 보안 점수 상태 평가
• UEBA 기능
• Microsoft Defender for Cloud Apps 및 Microsoft Entra 같은 다른 서비스와 직접 통합하여 온-프레미스 및 하이브리드 환경 모두에서 진행 중인 작업에 대한 하이브리드 보기를 제공합니다.
• 기타

또한 Defender for Identity는 Microsoft 365 보안 포트폴리오를 사용하여 도메인 간 위협 데이터를 자동으로 분석하여 단일 dashboard 각 공격에 대한 전체 그림을 작성합니다.

중요

이 마이그레이션 가이드는 독립 실행형 센서가 아닌 Defender for Identity 센서용으로만 설계되었습니다.

ATA 버전에서 Defender for Identity로 마이그레이션할 수 있지만 ATA 데이터는 마이그레이션되지 않습니다. 따라서 모든 ATA 경고가 닫혀 있거나 수정될 때까지 ATA 데이터 센터 및 진행 중인 조사에 필요한 모든 경고를 유지하는 것이 좋습니다.

참고

ATA의 최종 릴리스는 일반 공급됩니다. ATA는 2021년 1월 12일에 일반 지원을 종료했습니다. 추가 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조 하세요.

필수 구성 요소

ATA에서 Defender for Identity로 마이그레이션하려면 Defender for Identity 센서 요구 사항을 충족하는 환경 및 도메인 컨트롤러가 있어야 합니다. 자세한 내용은 Microsoft Defender for Identity 필수 구성 요소를 참조하세요.

사용하려는 모든 도메인 컨트롤러가 Defender for Identity 서비스에 충분한 인터넷 액세스 권한이 있는지 확인합니다. 자세한 내용은 엔드포인트 프록시 및 인터넷 연결 설정 구성을 참조하세요.

마이그레이션 계획

마이그레이션을 시작하기 전에 다음 정보를 모두 수집합니다.

• Directory Services 계정에 대한 계정 세부 정보입니다.

• Syslog 알림 설정.

• 알림 세부 정보를 Email.

• 모든 ATA 역할 그룹 멤버 자격.

• VPN 통합 세부 정보.

• 경고 제외. 제외는 ATA에서 Defender for Identity로 전송할 수 없으므로 제외를 Microsoft Defender XDR Defender for Identity로 복제하려면 각 제외에 대한 세부 정보가 필요합니다.

• 엔터티 태그에 대한 계정 세부 정보입니다. 전용 엔터티 태그가 아직 없는 경우 Defender for Identity와 함께 사용할 새 엔터티 태그를 만듭니다. 자세한 내용은 Microsoft Defender XDR Defender for Identity 엔터티 태그를 참조하세요.

• 중요한 엔터티로 수동으로 태그를 지정하려는 컴퓨터, 그룹 또는 사용자와 같은 모든 엔터티의 전체 목록입니다. 자세한 내용은 Microsoft Defender XDR Defender for Identity 엔터티 태그를 참조하세요.

• 모든 보고서 목록 및 예약된 타이밍을 포함하여 보고서 예약 세부 정보입니다.

주의

모든 ATA 게이트웨이가 제거될 때까지 ATA 센터를 제거하지 마세요. ATA 게이트웨이가 계속 실행 중인 ATA 센터를 제거하면 위협 방지 없이 organization 노출됩니다.

Defender for Identity로 이동

다음 단계를 사용하여 Defender for Identity로 마이그레이션합니다.

1. 새 Defender for Identity 작업 영역을 만듭니다.

2. 모든 도메인 컨트롤러에서 ATA 경량 게이트웨이를 제거합니다.

3. 모든 도메인 컨트롤러에 Defender for Identity Sensor를 설치합니다.

   1. Defender for Identity 센서 파일을 다운로드 하고 액세스 키를 검색합니다.

   2. 도메인 컨트롤러에 Defender for Identity 센서를 설치합니다.

4. Defender for Identity 센서를 구성합니다.

마이그레이션이 완료되면 유효성 검사 작업을 진행하기 전에 초기 동기화가 완료될 수 있도록 2시간을 허용합니다.

마이그레이션 유효성 검사

Microsoft Defender XDR 다음 영역을 검사 마이그레이션의 유효성을 검사합니다.

• 서비스 문제의 징후는 상태 문제를 검토합니다.
• 비정상적인 오류는 Defender for Identity 센서 오류 로그 를 검토합니다.

마이그레이션 후 활동

Defender for Identity로 마이그레이션을 완료한 후 다음을 수행하여 레거시 ATA 리소스를 클린.

1. 모든 기존 ATA 경고를 기록하거나 수정했는지 확인합니다. 기존 ATA 보안 경고는 마이그레이션을 통해 Defender for Identity로 가져오지 않습니다.

2. 다음 중 하나 또는 둘 다를 실행하십시오.

   • ATA 센터 서비스 해제. 일정 기간 동안 ATA 데이터를 온라인으로 유지하는 것이 좋습니다.
   • ATA 데이터를 무기한 유지하려는 경우 Mongo DB를 백업합니다. 자세한 내용은 ATA 데이터베이스 백업을 참조하세요.

관련 정보

Defender for Identity로 마이그레이션한 후 Microsoft Defender XDR 경고 조사에 대해 자세히 알아보세요. 자세한 내용은 다음 항목을 참조하세요.

• 보안 경고 이해
• Microsoft Defender XDR Defender for Identity 보안 경고 조사