Advanced Threat Analytics (ATA) för att Microsoft Defender for Identity

Den här artikeln beskriver hur du migrerar från en befintlig ATA-installation till en Microsoft Defender for Identity sensor och innehåller följande steg:

• Granska och bekräfta krav för Defender for Identity-tjänsten
• Dokumentera din befintliga ATA-konfiguration
• Planera migreringen
• Konfigurera din Defender for Identity-tjänst
• Utföra kontroller och verifieringar efter migreringen
• Inaktivera ATA

ATA är en fristående lokal lösning med flera komponenter, till exempel ATA Center som kräver dedikerad maskinvara lokalt.

Defender for Identity är en molnbaserad säkerhetslösning som använder dina lokal Active Directory signaler. Lösningen är mycket skalbar och uppdateras ofta.

Till skillnad från ATA-sensorn använder Defender for Identity-sensorn även datakällor som händelsespårning för Windows (ETW) som gör det möjligt för Defender for Identity att leverera extra identifieringar. Defender for Identity tillhandahåller också:

• Stöd för miljöer med flera skogar
• Microsoft Secure Score posture assessments
• UEBA-funktioner
• Direktintegrering med andra tjänster som Microsoft Defender for Cloud Apps och Microsoft Entra för en hybridvy över vad som händer i både lokala miljöer och hybridmiljöer
• Och mera

Defender for Identity använder också Microsoft 365-säkerhetsportföljen för att automatiskt analysera hotdata mellan domäner och skapa en fullständig bild av varje attack på en enda instrumentpanel.

Viktigt

Den här migreringsguiden är endast utformad för Defender för identitetssensorer och inte fristående sensorer.

Du kan migrera till Defender för identitet från valfri ATA-version, men dina ATA-data migreras inte. Därför rekommenderar vi att du planerar att behålla ditt ATA-datacenter och eventuella aviseringar som krävs för pågående undersökningar tills alla ATA-aviseringar stängs eller åtgärdas.

Obs!

Den slutliga versionen av ATA är allmänt tillgänglig. ATA avslutade Mainstream Support den 12 januari 2021. Utökad support fortsätter till januari 2026. Mer information finns i vår blogg.

Förhandskrav

Om du vill migrera från ATA till Defender for Identity måste du ha en miljö och domänkontrollanter som uppfyller kraven för Defender för identitetssensorer. Mer information finns i Microsoft Defender for Identity förutsättningar.

Kontrollera att alla domänkontrollanter som du planerar att använda har tillräcklig Internetåtkomst till Defender for Identity-tjänsten. Mer information finns i Konfigurera inställningar för slutpunktsproxy och Internetanslutning.

Planera migreringen

Samla in följande information innan du påbörjar migreringen:

• Kontoinformation för ditt Directory Services-konto.

• Inställningar för Syslog-meddelanden.

• Email meddelandeinformation.

• Alla medlemskap i ATA-rollgrupper.

• Information om VPN-integrering.

• Aviseringsundantag. Undantag kan inte överföras från ATA till Defender för identitet, så information om varje undantag krävs för att replikera undantagen som Defender för identitet i Microsoft Defender XDR.

• Kontoinformation för entitetstaggar. Om du inte redan har dedikerade entitetstaggar skapar du nya för användning med Defender för identitet. Mer information finns i Entitetstaggar för Defender for Identity i Microsoft Defender XDR.

• En fullständig lista över alla entiteter, till exempel datorer, grupper eller användare, som du vill tagga manuellt som känsliga entiteter. Mer information finns i Entitetstaggar för Defender for Identity i Microsoft Defender XDR.

• Information om rapportschemaläggning, inklusive en lista över alla rapporter och schemalagd tidsinställning.

Försiktighet

Avinstallera inte ATA Center förrän alla ATA-gatewayer har tagits bort. Om du avinstallerar ATA Center med ATA Gateways som fortfarande körs blir din organisation exponerad utan hotskydd.

Flytta till Defender för identitet

Använd följande steg för att migrera till Defender för identitet:

1. Skapa din nya Defender for Identity-arbetsyta.

2. Avinstallera ATA Lightweight Gateway på alla domänkontrollanter.

3. Installera Defender for Identity Sensor på alla domänkontrollanter:

   1. Ladda ned sensorfilerna för Defender for Identity och hämta åtkomstnyckeln.

   2. Installera Defender for Identity-sensorer på dina domänkontrollanter.

4. Konfigurera Defender for Identity-sensorn.

När migreringen är klar kan du vänta i två timmar innan den första synkroniseringen slutförs innan du går vidare med valideringsuppgifterna.

Verifiera migreringen

I Microsoft Defender XDR kontrollerar du följande områden för att verifiera migreringen:

• Granska eventuella hälsoproblem för tecken på tjänstproblem.
• Granska felloggarna för Defender for Identity-sensorn för ovanliga fel.

Aktiviteter efter migreringen

När du har slutfört migreringen till Defender for Identity gör du följande för att rensa dina äldre ATA-resurser:

1. Kontrollera att du har registrerat eller åtgärdat alla befintliga ATA-aviseringar. Befintliga ATA-säkerhetsaviseringar importeras inte till Defender för identitet med migreringen.

2. Gör något av följande:

   • Inaktivera ATA Center. Vi rekommenderar att du håller ATA-data online under en viss tid.
   • Säkerhetskopiera Mongo DB om du vill behålla ATA-data på obestämd tid. Mer information finns i Säkerhetskopiera ATA-databasen.

Relaterad information

När du har migrerat till Defender för identitet kan du läsa mer om att undersöka aviseringar i Microsoft Defender XDR. Mer information finns i:

• Förstå säkerhetsaviseringar
• Undersöka säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR