Advanced Threat Analytics (ATA) para Microsoft Defender para Identidade
Este artigo descreve como migrar de uma instalação do ATA existente para um sensor de Microsoft Defender para Identidade e inclui os seguintes passos:
- Rever e confirmar os pré-requisitos do serviço Defender para Identidade
- Documentar a configuração do ATA existente
- Planear a migração
- Configurar o serviço Defender para Identidade
- Efetuar verificações e verificações pós-migração
- Desativar o ATA
O ATA é uma solução autónoma no local com vários componentes, como o ATA Center que requer hardware dedicado no local.
O Defender para Identidade é uma solução de segurança baseada na cloud que utiliza os sinais de Active Directory no local. A solução é altamente dimensionável e é frequentemente atualizada.
Ao contrário do sensor do ATA, o sensor do Defender para Identidade também utiliza origens de dados, como o Rastreio de Eventos para Windows (ETW), o que permite ao Defender para Identidade fornecer deteções adicionais. O Defender para Identidade também fornece:
- Suporte para ambientes de várias florestas
- Avaliações da postura de Classificação de Segurança da Microsoft
- Capacidades da UEBA
- Integrações diretas com outros serviços, como Microsoft Defender for Cloud Apps e Microsoft Entra para uma vista híbrida do que está a ocorrer em ambientes no local e híbridos
- E muito mais
O Defender para Identidade também utiliza o portefólio de segurança do Microsoft 365 para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque num único dashboard.
Importante
Este guia de migração foi concebido apenas para sensores do Defender para Identidade e não para sensores autónomos.
Embora possa migrar para o Defender para Identidade a partir de qualquer versão do ATA, os dados do ATA não são migrados. Por conseguinte, recomendamos que planeie manter o ATA Data Center e todos os alertas necessários para investigações em curso até que todos os alertas do ATA sejam fechados ou remediados.
Nota
A versão final do ATA está geralmente disponível. O ATA terminou o Suporte Base a 12 de janeiro de 2021. O Suporte Alargado continuará até janeiro de 2026. Para obter mais informações, leia o nosso blogue.
Pré-requisitos
Para migrar do ATA para o Defender para Identidade, tem de ter um ambiente e controladores de domínio que cumpram os requisitos do sensor do Defender para Identidade. Para obter mais informações, veja Microsoft Defender para Identidade pré-requisitos.
Certifique-se de que todos os controladores de domínio que planeia utilizar têm acesso suficiente à Internet ao serviço Defender para Identidade. Para obter mais informações, veja Configurar o proxy de pontos finais e as definições de conectividade à Internet.
Planear a migração
Antes de iniciar a migração, recolha todas as seguintes informações:
Detalhes da conta dos Serviços de Diretório.
Definições de notificação do Syslog.
Email detalhes da notificação.
Todas as associações a grupos de funções do ATA.
Exclusões de alertas. As exclusões não são transferíveis do ATA para o Defender para Identidade, pelo que são necessários detalhes de cada exclusão para replicar as exclusões como Defender para Identidade no Microsoft Defender XDR.
Detalhes da conta para etiquetas de entidade. Se ainda não tiver etiquetas de entidade dedicadas, crie novas para utilização com o Defender para Identidade. Para obter mais informações, veja Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR.
Uma lista completa de todas as entidades, como computadores, grupos ou utilizadores, que pretende etiquetar manualmente como Entidades confidenciais. Para obter mais informações, veja Etiquetas de entidade do Defender para Identidade no Microsoft Defender XDR.
Detalhes de agendamento de relatórios, incluindo uma lista de todos os relatórios e temporização agendada.
Atenção
Não desinstale o ATA Center até que todos os ATA Gateways sejam removidos. Desinstalar o ATA Center com os ATA Gateways ainda em execução deixa a sua organização exposta sem proteção contra ameaças.
Mover para o Defender para Identidade
Utilize os seguintes passos para migrar para o Defender para Identidade:
Crie a sua nova área de trabalho do Defender para Identidade.
Desinstale o ATA Lightweight Gateway em todos os controladores de domínio.
Instale o Sensor do Defender para Identidade em todos os controladores de domínio:
Após a conclusão da migração, aguarde duas horas para que a sincronização inicial seja concluída antes de avançar com as tarefas de validação.
Validar a migração
No Microsoft Defender XDR, verifique as seguintes áreas para validar a migração:
- Reveja quaisquer problemas de estado de funcionamento para obter sinais de problemas de serviço.
- Reveja os registos de erros do sensor do Defender para Identidade para ver se existem erros invulgares.
Atividades pós-migração
Depois de concluir a migração para o Defender para Identidade, faça o seguinte para limpar os recursos do ATA legados:
Confirme que registou ou remediau todos os alertas do ATA existentes. Os alertas de segurança do ATA existentes não são importados para o Defender para Identidade com a migração.
Efetue um ou ambos os seguintes procedimentos:
- Desativar o ATA Center. Recomendamos que mantenha os dados do ATA online durante um período de tempo.
- Crie uma cópia de segurança do Mongo DB se quiser manter os dados do ATA indefinidamente. Para obter mais informações, veja Criar cópias de segurança da base de dados do ATA.
Informações relacionadas
Depois de migrar para o Defender para Identidade, saiba mais sobre como investigar alertas no Microsoft Defender XDR. Para mais informações, consulte: