Advanced Threat Analytics (ATA) for å Microsoft Defender for identitet

Denne artikkelen beskriver hvordan du overfører fra en eksisterende ATA-installasjon til en Microsoft Defender for identitet sensor, og inkluderer følgende trinn:

• Se gjennom og bekreft forutsetninger for Defender for Identity-tjenesten
• Dokumenter den eksisterende ATA-konfigurasjonen
• Planlegge overføringen
• Konfigurer og konfigurer Defender for Identitet-tjenesten
• Utføre kontroller og bekreftelser etter overføring
• Avvikling av ATA

ATA er en frittstående lokal løsning med flere komponenter, for eksempel ATA-senteret som krever dedikert maskinvare lokalt.

Defender for Identity er en skybasert sikkerhetsløsning som bruker dine lokal Active Directory signaler. Løsningen er svært skalerbar og oppdateres jevnlig.

I motsetning til ATA-sensoren bruker Defender for Identity-sensoren også datakilder, for eksempel Event Tracing for Windows (ETW), slik at Defender for Identity kan levere ekstra gjenkjenninger. Defender for Identity gir også:

• Støtte for miljøer med flere skoger
• Vurderinger av Microsoft Secure Score-holdning
• UEBA-funksjoner
• Direkte integreringer med andre tjenester som Microsoft Defender for Cloud Apps og Microsoft Entra for en hybridvisning av hva som foregår i både lokale og hybride miljøer
• Og mer

Defender for Identity bruker også microsoft 365-sikkerhetsporteføljen til automatisk å analysere trusseldata på tvers av domener, og bygge et fullstendig bilde av hvert angrep i ett enkelt instrumentbord.

Viktig

Denne overføringsveiledningen er utformet bare for Defender for identitetssensorer, og ikke frittstående sensorer.

Selv om du kan overføre til Defender for Identity fra hvilken som helst ATA-versjon, overføres ikke ATA-dataene. Derfor anbefaler vi at du planlegger å beholde ATA-datasenteret og eventuelle varsler som kreves for pågående undersøkelser til alle ATA-varsler er lukket eller utbedret.

Obs!

Den endelige utgivelsen av ATA er generelt tilgjengelig. ATA avsluttet mainstream support den 12 januar 2021. Utvidet støtte vil fortsette til januar 2026. Hvis du vil ha mer informasjon, kan du lese bloggen vår.

Forutsetninger

Hvis du vil overføre fra ATA til Defender for Identitet, må du ha et miljø og domenekontrollere som oppfyller kravene til Defender for identitetssensor. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet forutsetninger.

Kontroller at alle domenekontrollørene du planlegger å bruke, har tilstrekkelig Internett-tilgang til Defender for Identity-tjenesten. Hvis du vil ha mer informasjon, kan du se Konfigurere proxy- og Internett-tilkoblingsinnstillinger for endepunkt.

Planlegge overføringen

Før du starter overføringen, samler du inn all følgende informasjon:

• Kontodetaljer for katalogtjenestekontoen.

• Innstillinger for Syslog-varsling.

• E-postvarslingsdetaljer.

• Alle ATA-rollegruppemedlemskap.

• Integreringsdetaljer for VPN.

• Varselutelukkelser. Utelukkelser kan ikke overføres fra ATA til Defender for Identity, så detaljer om hver utelukkelse kreves for å replikere utelukkelsene som Defender for Identity i Microsoft Defender XDR.

• Kontodetaljer for enhetskoder. Hvis du ikke allerede har dedikerte enhetskoder, kan du opprette nye koder for bruk med Defender for Identitet. Hvis du vil ha mer informasjon, kan du se Defender for Identity-enhetskoder i Microsoft Defender XDR.

• En fullstendig liste over alle enheter, for eksempel datamaskiner, grupper eller brukere, som du vil merke manuelt som sensitive enheter. Hvis du vil ha mer informasjon, kan du se Defender for Identity-enhetskoder i Microsoft Defender XDR.

• Detaljer for rapportplanlegging, inkludert en liste over alle rapporter og planlagt tidsberegning.

Forsiktig!

Ikke avinstaller ATA-senteret før alle ATA-gatewayer er fjernet. Hvis du avinstallerer ATA-senteret med ATA-gatewayer som fortsatt kjører, blir organisasjonen utsatt uten trusselbeskyttelse.

Flytt til Defender for identitet

Bruk følgende fremgangsmåte for å overføre til Defender for identitet:

1. Opprett det nye Defender for Identity-arbeidsområdet.

2. Avinstaller ATA Lightweight Gateway på alle domenekontrollere.

3. Installer Defender for identitetssensor på alle domenekontrollere:

   1. Last ned defender for identitetssensorfiler , og hent tilgangsnøkkelen.

   2. Installer Defender for Identitetssensorer på domenekontrollerne.

4. Konfigurer Defender for Identitet-sensoren.

Når overføringen er fullført, kan du tillate at to timer for den første synkroniseringen fullføres før du går videre med valideringsoppgaver.

Validere overføringen

Kontroller følgende områder i Microsoft Defender XDR for å validere overføringen:

• Se gjennom eventuelle helseproblemer for tegn på tjenesteproblemer.
• Se gjennom Defender for feillogger for identitetssensor for uvanlige feil.

Aktiviteter etter overføring

Når du har fullført overføringen til Defender for Identity, gjør du følgende for å rydde opp i de eldre ATA-ressursene:

1. Kontroller at du har registrert eller utbedret alle eksisterende ATA-varsler. Eksisterende ATA-sikkerhetsvarsler importeres ikke til Defender for Identitet med overføringen.

2. Gjør ett eller begge av følgende:

   • Avvikle ATA-senteret. Vi anbefaler at du holder ATA-data på nettet i en tidsperiode.
   • Sikkerhetskopier DB hvis du vil beholde ATA-dataene på ubestemt tid. Hvis du vil ha mer informasjon, kan du se Sikkerhetskopiere ATA-databasen.

Relatert informasjon

Når du har overført til Defender for Identitet, kan du lære mer om hvordan du undersøker varsler i Microsoft Defender XDR. Hvis du vil ha mer informasjon, kan du se:

• Forstå sikkerhetsvarsler
• Undersøk sikkerhetsvarsler for Defender for identitet i Microsoft Defender XDR