Advanced Threat Analytics (ATA) naar Microsoft Defender for Identity

In dit artikel wordt beschreven hoe u migreert van een bestaande ATA-installatie naar een Microsoft Defender for Identity sensor en bevat de volgende stappen:

• Vereisten voor Defender for Identity-service controleren en bevestigen
• Uw bestaande ATA-configuratie documenteer
• Uw migratie plannen
• Uw Defender for Identity-service instellen en configureren
• Controles en verificaties na de migratie uitvoeren
• ATA uit bedrijf nemen

ATA is een zelfstandige on-premises oplossing met meerdere onderdelen, zoals het ATA Center waarvoor speciale on-premises hardware is vereist.

Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory signalen. De oplossing is zeer schaalbaar en wordt regelmatig bijgewerkt.

In tegenstelling tot de ATA-sensor maakt de Defender for Identity-sensor ook gebruik van gegevensbronnen zoals Event Tracing for Windows (ETW) waarmee Defender for Identity extra detecties kan leveren. Defender for Identity biedt ook het volgende:

• Ondersteuning voor omgevingen met meerdere forests
• Microsoft Secure Score-houdingsevaluaties
• UEBA-mogelijkheden
• Directe integraties met andere services, zoals Microsoft Defender for Cloud Apps en Microsoft Entra voor een hybride weergave van wat er plaatsvindt in zowel on-premises als hybride omgevingen
• En meer

Defender for Identity maakt ook gebruik van de Microsoft 365-beveiligingsportfolio om bedreigingsgegevens voor meerdere domeinen automatisch te analyseren, waardoor een volledig beeld van elke aanval in één dashboard wordt opgebouwd.

Belangrijk

Deze migratiehandleiding is alleen ontworpen voor Defender for Identity-sensoren en niet voor zelfstandige sensoren.

Hoewel u vanuit elke ATA-versie naar Defender for Identity kunt migreren, worden uw ATA-gegevens niet gemigreerd. Daarom raden we u aan uw ATA Data Center en eventuele waarschuwingen die nodig zijn voor doorlopend onderzoek te behouden totdat alle ATA-waarschuwingen zijn gesloten of hersteld.

Opmerking

De definitieve versie van ATA is algemeen beschikbaar. ATA heeft de basisondersteuning beëindigd op 12 januari 2021. Uitgebreide ondersteuning loopt tot januari 2026. Lees ons blog voor meer informatie.

Vereisten

Als u wilt migreren van ATA naar Defender for Identity, moet u beschikken over een omgeving en domeincontrollers die voldoen aan de sensorvereisten voor Defender for Identity. Zie vereisten voor Microsoft Defender for Identity voor meer informatie.

Zorg ervoor dat alle domeincontrollers die u wilt gebruiken voldoende internettoegang hebben tot de Defender for Identity-service. Zie Instellingen voor eindpuntproxy en internetverbinding configureren voor meer informatie.

Uw migratie plannen

Voordat u de migratie start, moet u alle volgende informatie verzamelen:

• Accountgegevens voor uw Directory Services-account.

• Instellingen voor Syslog-meldingen.

• Email meldingsgegevens.

• Alle ATA-rolgroepslidmaatschappen.

• Details van VPN-integratie.

• Uitsluitingen van waarschuwingen. Uitsluitingen zijn niet overdraagbaar van ATA naar Defender for Identity. Daarom zijn details van elke uitsluiting vereist om de uitsluitingen te repliceren als Defender for Identity in Microsoft Defender XDR.

• Accountgegevens voor entiteitstags. Als u nog geen toegewezen entiteitstags hebt, maakt u nieuwe tags voor gebruik met Defender for Identity. Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

• Een volledige lijst met alle entiteiten, zoals computers, groepen of gebruikers, die u handmatig wilt taggen als Gevoelige entiteiten. Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

• Details van rapportplanning, inclusief een lijst met alle rapporten en geplande tijdsinstellingen.

Voorzichtigheid

Verwijder het ATA Center pas als alle ATA-gateways zijn verwijderd. Als u het ATA Center verwijdert terwijl ATA Gateways nog steeds worden uitgevoerd, wordt uw organisatie blootgesteld zonder bedreigingsbeveiliging.

Verplaatsen naar Defender for Identity

Gebruik de volgende stappen om te migreren naar Defender for Identity:

1. Maak uw nieuwe Defender for Identity-werkruimte.

2. Verwijder de ATA Lightweight-gateway op alle domeincontrollers.

3. Installeer de Defender for Identity Sensor op alle domeincontrollers:

   1. Download de Defender for Identity-sensorbestanden en haal de toegangssleutel op.

   2. Installeer Defender for Identity-sensoren op uw domeincontrollers.

4. Configureer de Defender for Identity-sensor.

Nadat de migratie is voltooid, kunt u twee uur wachten voordat de eerste synchronisatie is voltooid voordat u verdergaat met validatietaken.

Uw migratie valideren

Controleer in Microsoft Defender XDR de volgende gebieden om uw migratie te valideren:

• Controleer eventuele statusproblemen op tekenen van serviceproblemen.
• Bekijk de foutenlogboeken van de Defender for Identity-sensor op ongebruikelijke fouten.

Activiteiten na migratie

Nadat u de migratie naar Defender for Identity hebt voltooid, gaat u als volgt te werk om uw verouderde ATA-resources op te schonen:

1. Zorg ervoor dat u alle bestaande ATA-waarschuwingen hebt vastgelegd of hersteld. Bestaande ATA-beveiligingswaarschuwingen worden tijdens de migratie niet geïmporteerd in Defender for Identity.

2. Voer een of beide van de volgende handelingen uit:

   • Het ATA Center buiten gebruik stellen. We raden u aan ATA-gegevens gedurende een bepaalde periode online te houden.
   • Maak een back-up van Mongo DB als u de ATA-gegevens voor onbepaalde tijd wilt bewaren. Zie Back-ups maken van de ATA-database voor meer informatie.

Gerelateerde informatie

Na de migratie naar Defender for Identity vindt u meer informatie over het onderzoeken van waarschuwingen in Microsoft Defender XDR. Zie voor meer informatie:

• Informatie over beveiligingswaarschuwingen
• Beveiligingswaarschuwingen voor Defender for Identity onderzoeken in Microsoft Defender XDR