共用方式為

進階威脅分析 (ATA) 以 適用於身分識別的 Microsoft Defender

  • 發行項

本文說明如何從現有的 ATA 安裝移轉至 適用於身分識別的 Microsoft Defender 感測器,並包含下列步驟:

  • 檢閱並確認適用於身分識別的Defender服務必要條件
  • 記錄您現有的 ATA 設定
  • 規劃您的移轉
  • 設定適用於身分識別的Defender服務
  • 執行移轉後檢查和驗證
  • 解除委任 ATA

ATA 是具有多個元件的獨立內部部署解決方案,例如需要內部部署專用硬體的 ATA 中心。

適用於身分識別的 Defender 是雲端式安全性解決方案,可使用您的 內部部署的 Active Directory 訊號。 解決方案可高度擴充且經常更新。

相較於 ATA 感測器,適用於身分識別的 Defender 感測器也會使用數據源,例如 Windows 事件追蹤 (ETW) 讓適用於身分識別的 Defender 能夠提供額外的偵測。 適用於身分識別的Defender也提供:

適用於身分識別的 Defender 也會使用 Microsoft 365 安全性組合來自動分析跨網域威脅數據,在單一儀錶板中建立每個攻擊的完整圖片。

重要事項

本移轉指南僅針對適用於身分識別的Defender感測器而設計,而非獨立感測器。

雖然您可以從任何 ATA 版本移轉至適用於身分識別的 Defender,但不會移轉 ATA 數據。 因此,建議您計劃保留 ATA 資料中心和進行中調查所需的任何警示,直到所有 ATA 警示都關閉或補救為止。

注意事項

ATA 的最終版本 已正式推出。 ATA 已於 2021 年 1 月 12 日終止主要支援。 外延支援會持續到 2026 年 1 月。 如需詳細資訊,請參閱 我們的部落格

必要條件

若要從 ATA 移轉至適用於身分識別的 Defender,您必須擁有符合適用於身分識別的 Defender 感測器需求的環境和域控制器。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件

請確定您計劃使用的所有域控制器都有足夠的因特網存取適用於身分識別的 Defender 服務。 如需詳細資訊, 請參閱設定端點 Proxy 和因特網聯機設定

規劃您的移轉

開始移轉之前,請收集下列所有資訊:

注意

在移除所有 ATA 閘道之前,請勿卸載 ATA 中心。 將 ATA 中心卸載且 ATA 閘道仍在執行中,讓您的組織無法受到威脅防護。

移至適用於身分識別的Defender

使用下列步驟移轉至適用於身分識別的Defender:

  1. 建立新的適用於身分識別的Defender工作區

  2. 在所有域控制器上卸載 ATA 輕量型閘道。

  3. 在所有域控制器上安裝適用於身分識別的 Defender 感測器:

    1. 下載適用於身分識別的 Defender 感測器檔案 ,並擷取存取密鑰。

    2. 在域控制器上安裝適用於身分識別的Defender感測器

  4. 設定適用於身分識別的Defender感測器

移轉完成之後,允許完成初始同步處理兩小時,再繼續進行驗證工作。

驗證您的移轉

在 Microsoft Defender 全面偵測回應 中,檢查下列區域以驗證您的移轉:

移轉後活動

完成移轉至適用於身分識別的 Defender 之後,請執行下列動作來清除舊版 ATA 資源:

  1. 請確定您已記錄或補救所有現有的 ATA 警示。 現有的 ATA 安全性警示不會隨著移轉匯入至適用於身分識別的 Defender。

  2. 請執行下列一或兩項動作:

    • 解除委任 ATA 中心。 建議您將 ATA 數據保持在在線一段時間。
    • 如果您想要無限期保留 ATA 數據,請備份 Mongo DB。 如需詳細資訊,請參閱 備份 ATA 資料庫

移轉至適用於身分識別的Defender之後,請深入瞭解如何調查 Microsoft Defender 全面偵測回應中的警示。 如需詳細資訊,請參閱: