Usługa Advanced Threat Analytics (ATA) do Microsoft Defender for Identity
W tym artykule opisano sposób migracji z istniejącej instalacji usługi ATA do czujnika Microsoft Defender for Identity i przedstawiono następujące kroki:
- Przejrzyj i potwierdź wymagania wstępne usługi Defender for Identity Service
- Dokumentowanie istniejącej konfiguracji usługi ATA
- Planowanie migracji
- Konfigurowanie i konfigurowanie usługi Defender for Identity
- Przeprowadzanie kontroli i weryfikacji po migracji
- Likwidowanie usługi ATA
Usługa ATA to autonomiczne rozwiązanie lokalne z wieloma składnikami, takimi jak centrum usługi ATA, które wymaga lokalnego dedykowanego sprzętu.
Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które używa sygnałów lokalna usługa Active Directory. Rozwiązanie jest wysoce skalowalne i jest często aktualizowane.
W przeciwieństwie do czujnika usługi ATA czujnik usługi Defender for Identity używa również źródeł danych, takich jak śledzenie zdarzeń dla systemu Windows (ETW), co umożliwia usłudze Defender for Identity dostarczanie dodatkowych wykrywania. Usługa Defender for Identity zapewnia również:
- Obsługa środowisk z wieloma lasami
- Ocena stanu wskaźnika bezpieczeństwa firmy Microsoft
- Możliwości UEBA
- Bezpośrednia integracja z innymi usługami, takimi jak Microsoft Defender for Cloud Apps i Microsoft Entra, aby uzyskać hybrydowy widok tego, co dzieje się w środowiskach lokalnych i hybrydowych
- I nawet więcej
Usługa Defender for Identity używa również portfolio zabezpieczeń platformy Microsoft 365 do automatycznego analizowania danych dotyczących zagrożeń między domenami, tworząc pełny obraz każdego ataku na jednym pulpicie nawigacyjnym.
Ważna
Ten przewodnik migracji jest przeznaczony tylko dla czujników usługi Defender for Identity, a nie czujników autonomicznych.
Chociaż można przeprowadzić migrację do usługi Defender for Identity z dowolnej wersji usługi ATA, dane usługi ATA nie są migrowane. W związku z tym zalecamy zachowanie centrum danych usługi ATA i wszelkich alertów wymaganych do toczących się badań do momentu zamknięcia lub skorygowania wszystkich alertów usługi ATA.
Uwaga
Ostateczna wersja usługi ATA jest ogólnie dostępna. 12 stycznia 2021 r. usługa ATA zakończyła wsparcie podstawowe. Wsparcie rozszerzone będzie kontynuowane do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.
Wymagania wstępne
Aby przeprowadzić migrację z usługi ATA do usługi Defender for Identity, musisz mieć środowisko i kontrolery domeny spełniające wymagania czujnika usługi Defender for Identity. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity wymagania wstępne.
Upewnij się, że wszystkie kontrolery domeny, których planujesz używać, mają wystarczający dostęp do Internetu w usłudze Defender for Identity. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem.
Planowanie migracji
Przed rozpoczęciem migracji zbierz wszystkie następujące informacje:
Szczegóły konta dla konta usług katalogowych.
Ustawienia powiadomień dziennika systemowego.
Email szczegóły powiadomień.
Wszystkie członkostwa w grupach ról usługi ATA.
Wykluczenia alertów. Wykluczenia nie mogą być przenoszone z usługi ATA do usługi Defender for Identity, dlatego do replikowania wykluczeń jako usługi Defender for Identity w Microsoft Defender XDR są wymagane szczegóły każdego wykluczenia.
Szczegóły konta tagów jednostek. Jeśli nie masz jeszcze dedykowanych tagów jednostek, utwórz nowe do użycia z usługą Defender for Identity. Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR).
Pełna lista wszystkich jednostek, takich jak komputery, grupy lub użytkownicy, które chcesz ręcznie oznaczyć jako jednostki poufne. Aby uzyskać więcej informacji, zobacz Temat Defender for Identity entity tags in Microsoft Defender XDR (Tagi jednostek usługi Defender for Identity w Microsoft Defender XDR).
Szczegóły planowania raportów, w tym lista wszystkich raportów i zaplanowanego czasu.
Uwaga
Nie odinstaluj centrum usługi ATA, dopóki wszystkie bramy usługi ATA nie zostaną usunięte. Odinstalowywanie centrum usługi ATA z nadal uruchomionymi bramami usługi ATA powoduje, że twoja organizacja nie ma ochrony przed zagrożeniami.
Przejście do usługi Defender for Identity
Wykonaj następujące kroki, aby przeprowadzić migrację do usługi Defender for Identity:
Odinstaluj uproszczoną bramę usługi ATA na wszystkich kontrolerach domeny.
Zainstaluj czujnik tożsamości usługi Defender dla wszystkich kontrolerów domeny:
Po zakończeniu migracji poczekaj dwie godziny na ukończenie synchronizacji początkowej przed przejściem z zadaniami weryfikacji.
Weryfikowanie migracji
W Microsoft Defender XDR sprawdź następujące obszary, aby zweryfikować migrację:
- Przejrzyj wszelkie problemy z kondycją , aby uzyskać informacje o oznakach problemów z usługą.
- Przejrzyj dzienniki błędów czujnika usługi Defender for Identity pod kątem wszelkich nietypowych błędów.
Działania po migracji
Po zakończeniu migracji do usługi Defender for Identity wykonaj następujące czynności, aby wyczyścić starsze zasoby usługi ATA:
Upewnij się, że zarejestrowano lub skorygowano wszystkie istniejące alerty usługi ATA. Istniejące alerty zabezpieczeń usługi ATA nie są importowane do usługi Defender for Identity przy użyciu migracji.
Wykonaj jedną lub obie z następujących czynności:
- Likwiduj centrum usługi ATA. Zalecamy przechowywanie danych usługi ATA w trybie online przez pewien czas.
- Utwórz kopię zapasową bazy danych Mongo DB , jeśli chcesz przechowywać dane usługi ATA przez czas nieokreślony. Aby uzyskać więcej informacji, zobacz Tworzenie kopii zapasowej bazy danych usługi ATA.
Informacje pokrewne
Po migracji do usługi Defender for Identity dowiedz się więcej na temat badania alertów w Microsoft Defender XDR. Więcej informacji można znaleźć w następujących artykułach: