高级威胁分析 (ATA) Microsoft Defender for Identity

本文介绍如何从现有 ATA 安装迁移到Microsoft Defender for Identity传感器，并包括以下步骤：

• 查看并确认 Defender for Identity 服务先决条件
• 记录现有的 ATA 配置
• 规划迁移
• 设置和配置 Defender for Identity 服务
• 执行迁移后检查和验证
• 解除 ATA 授权

ATA 是一种独立的本地解决方案，具有多个组件，例如需要本地专用硬件的 ATA 中心。

Defender for Identity 是一种基于云的安全解决方案，使用本地 Active Directory信号。 该解决方案具有高度可缩放性，并且经常更新。

与 ATA 传感器相比，Defender for Identity 传感器还使用 Windows (ETW 事件跟踪等数据源，) 使 Defender for Identity 能够提供额外的检测。 Defender for Identity 还提供：

• 支持 多林环境
• Microsoft安全功能分数状况评估
• UEBA 功能
• 与其他服务（如Microsoft Defender for Cloud Apps和Microsoft Entra）直接集成，以混合视图了解本地和混合环境中发生的情况
• 其他信息

Defender for Identity 还使用 Microsoft 365 安全组合自动分析跨域威胁数据，在单个仪表板中全面了解每个攻击。

重要

此迁移指南仅适用于 Defender for Identity 传感器，而不适用于独立传感器。

虽然可以从任何 ATA 版本迁移到 Defender for Identity，但 ATA 数据不会迁移。 因此，我们建议你计划保留 ATA 数据中心和正在进行的调查所需的任何警报，直到关闭或修正所有 ATA 警报。

注意

ATA 的最终版本 已正式发布。 ATA 于 2021 年 1 月 12 日终止了主流支持。 延期支持将持续到 2026 年 1 月。 有关详细信息，请阅读 我们的博客。

先决条件

若要从 ATA 迁移到 Defender for Identity，必须具有满足 Defender for Identity 传感器要求的环境和域控制器。 有关详细信息，请参阅Microsoft Defender for Identity先决条件。

确保计划使用的所有域控制器对 Defender for Identity 服务具有足够的 Internet 访问权限。 有关详细信息，请参阅 配置终结点代理和 Internet 连接设置。

规划迁移

在开始迁移之前，请收集以下信息：

• 目录服务帐户的帐户详细信息。

• Syslog 通知 设置。

• Email通知详细信息。

• 所有 ATA 角色组成员身份。

• VPN 集成详细信息。

• 警报排除。 排除项无法从 ATA 转移到 Defender for Identity，因此需要每个排除项的详细信息才能在 Microsoft Defender XDR 中将排除项复制为 Defender for Identity。

• 实体标记的帐户详细信息。 如果还没有专用实体标记，请创建新的用于 Defender for Identity 的实体标记。 有关详细信息，请参阅 Microsoft Defender XDR 中的 Defender for Identity 实体标记。

• 要手动标记为 敏感 实体的所有实体（例如计算机、组或用户）的完整列表。 有关详细信息，请参阅 Microsoft Defender XDR 中的 Defender for Identity 实体标记。

• 报告计划 详细信息，包括所有报表的列表和计划的计时。

警告

在删除所有 ATA 网关之前，请勿卸载 ATA 中心。 卸载仍运行 ATA 网关的 ATA 中心会使组织暴露在无威胁防护的情况下。

移动到 Defender for Identity

使用以下步骤迁移到 Defender for Identity：

1. 创建新的 Defender for Identity 工作区。

2. 卸载所有域控制器上的 ATA 轻型网关。

3. 在所有域控制器上安装 Defender for Identity Sensor：

   1. 下载 Defender for Identity 传感器文件 并检索访问密钥。

   2. 在域控制器上安装 Defender for Identity 传感器。

4. 配置 Defender for Identity 传感器。

迁移完成后，等待两个小时完成初始同步，然后继续执行验证任务。

验证迁移

在 Microsoft Defender XDR 中，检查以下方面来验证迁移：

• 查看任何 运行状况问题 ，了解服务问题的迹象。
• 查看 Defender for Identity 传感器错误日志 中是否有任何异常错误。

迁移后活动

完成到 Defender for Identity 的迁移后，执行以下操作以清理旧版 ATA 资源：

1. 请确保已记录或修正所有现有的 ATA 警报。 现有的 ATA 安全警报不会随迁移一起导入到 Defender for Identity。

2. 执行下列一项或全部操作：

   • 解除 ATA 中心的授权。 建议将 ATA 数据联机一段时间。
   • 如果要无限期保留 ATA 数据，请备份 Mongo DB。 有关详细信息，请参阅 备份 ATA 数据库。

相关信息

迁移到 Defender for Identity 后，请详细了解如何在 Microsoft Defender XDR 中调查警报。 有关更多信息，请参阅：

• 了解安全警报
• 调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报