Advanced Threat Analytics (ATA) — Microsoft Defender для удостоверений
В этой статье описывается переход с существующей установки ATA на датчик Microsoft Defender для удостоверений, а также описано, как выполнить следующие действия.
- Проверка и подтверждение предварительных требований к службе Defender для удостоверений
- Документирование существующей конфигурации ATA
- Планирование миграции
- Настройка и настройка службы Defender для удостоверений
- Выполнение проверок и проверок после миграции
- Вывод из эксплуатации ATA
ATA — это автономное локальное решение с несколькими компонентами, такими как Центр ATA, для чего требуется выделенное локальное оборудование.
Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы локальная служба Active Directory. Решение является высокомасштабируемым и часто обновляется.
В отличие от датчика ATA, датчик Defender для удостоверений также использует такие источники данных, как трассировка событий Windows (ETW), что позволяет Defender для удостоверений выполнять дополнительные обнаружения. Defender для удостоверений также предоставляет:
- Поддержка сред с несколькими лесами
- Оценки состояния оценки безопасности (Майкрософт)
- Возможности UEBA
- Прямая интеграция с другими службами, такими как Microsoft Defender for Cloud Apps и Microsoft Entra для гибридного представления о том, что происходит как в локальных, так и в гибридных средах
- И многое другое
Defender для удостоверений также использует портфель безопасности Microsoft 365 для автоматического анализа междоменных данных об угрозах, создавая полную картину каждой атаки на одной панели мониторинга.
Важно!
Это руководство по миграции предназначено только для датчиков Defender для удостоверений, но не для автономных датчиков.
Хотя вы можете выполнить миграцию в Defender для удостоверений с любой версии ATA, данные ATA не переносятся. Поэтому рекомендуется планировать сохранение центра обработки данных ATA и всех оповещений, необходимых для текущих расследований, до тех пор, пока все оповещения ATA не будут закрыты или исправлены.
Примечание.
Окончательный выпуск ATA является общедоступным. ATA прекратила основную поддержку 12 января 2021 г. Расширенная поддержка будет продолжаться до января 2026 г. Дополнительные сведения см. в нашем блоге.
Предварительные условия
Для миграции с ATA на Defender для удостоверений необходимо иметь контроллеры среды и домена, которые соответствуют требованиям датчика Defender для удостоверений. Дополнительные сведения см. в разделе предварительные требования Microsoft Defender для удостоверений.
Убедитесь, что все контроллеры домена, которые вы планируете использовать, имеют достаточный доступ к Интернету к службе Defender для удостоверений. Дополнительные сведения см. в разделе Настройка параметров прокси-сервера конечной точки и подключения к Интернету.
Планирование миграции
Перед началом миграции соберите все следующие сведения:
Сведения об учетной записи служб каталогов.
Параметры уведомлений системного журнала.
Email сведения об уведомлении.
Исключения оповещений. Исключения не переносятся из ATA в Defender для удостоверений, поэтому для репликации исключений в качестве Defender для удостоверений в Microsoft Defender XDR требуются сведения о каждом исключении.
Сведения об учетной записи для тегов сущностей. Если у вас еще нет выделенных тегов сущностей, создайте новые теги для использования с Defender для удостоверений. Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.
Полный список всех сущностей, таких как компьютеры, группы или пользователи, которые нужно вручную пометить как конфиденциальные сущности. Дополнительные сведения см. в разделе Теги сущностей Defender для удостоверений в Microsoft Defender XDR.
Подробные сведения о планировании отчетов, включая список всех отчетов и запланированное время.
Предостережение
Не удаляйте центр ATA, пока не будут удалены все шлюзы ATA. Удаление центра ATA с по-прежнему запущенными шлюзами ATA оставляет вашу организацию без защиты от угроз.
Переход в Defender для удостоверений
Выполните следующие действия для миграции в Defender для удостоверений:
Удалите упрощенный шлюз ATA на всех контроллерах домена.
Установите датчик Defender для удостоверений на всех контроллерах домена:
После завершения миграции предоставьте два часа для завершения начальной синхронизации, прежде чем переходить к задачам проверки.
Проверка миграции
В Microsoft Defender XDR проверка следующие области для проверки миграции:
- Просмотрите все проблемы работоспособности на наличие признаков проблем со службой.
- Просмотрите журналы ошибок датчика Defender для удостоверений на наличие необычных ошибок.
Действия после миграции
После завершения миграции в Defender для удостоверений выполните следующие действия, чтобы очистить устаревшие ресурсы ATA:
Убедитесь, что вы записали или исправили все существующие оповещения ATA. Существующие оповещения системы безопасности ATA не импортируются в Defender для удостоверений при миграции.
Выполните одно или оба следующих действия.
- Вывод центра ATA из эксплуатации. Мы рекомендуем хранить данные ATA в сети в течение определенного периода времени.
- Создайте резервную копию базы данных Mongo , если вы хотите хранить данные ATA на неопределенный срок. Дополнительные сведения см. в разделе Резервное копирование базы данных ATA.
Статьи по теме
После миграции на Defender для удостоверений ознакомьтесь с дополнительными сведениями об изучении оповещений в Microsoft Defender XDR. Дополнительные сведения см. в разделе: