تحليلات المخاطر المتقدمة (ATA) إلى Microsoft Defender for Identity

توضح هذه المقالة كيفية الترحيل من تثبيت ATA موجود إلى مستشعر Microsoft Defender for Identity، وتتضمن الخطوات التالية:

ATA هو حل محلي مستقل مع مكونات متعددة، مثل مركز ATA الذي يتطلب أجهزة مخصصة محليا.

Defender for Identity هو حل أمان مستند إلى السحابة يستخدم إشارات Active Directory محلي. الحل قابل للتطوير بدرجة كبيرة ويتم تحديثه بشكل متكرر.

على النقيض من مستشعر ATA، يستخدم مستشعر Defender for Identity أيضا مصادر بيانات مثل تتبع الأحداث لنظام التشغيل Windows (ETW) لتمكين Defender for Identity من تقديم اكتشافات إضافية. يوفر Defender for Identity أيضا:

• دعم البيئات متعددة الغابات
• تقييمات وضع Microsoft Secure Score
• قدرات UEBA
• عمليات التكامل المباشرة مع الخدمات الأخرى مثل Microsoft Defender for Cloud Apps Microsoft Entra لعرض مختلط لما يحدث في كل من البيئات المحلية والمختلطة
• والمزيد

يستخدم Defender for Identity أيضا محفظة أمان Microsoft 365 لتحليل بيانات التهديد عبر المجالات تلقائيا، وبناء صورة كاملة لكل هجوم في لوحة معلومات واحدة.

المتطلبات الأساسية

للترحيل من ATA إلى Defender for Identity، يجب أن يكون لديك بيئة ووحدات تحكم بالمجال تفي بمتطلبات أداة استشعار Defender for Identity. لمزيد من المعلومات، راجع المتطلبات الأساسية Microsoft Defender for Identity.

تأكد من أن جميع وحدات التحكم بالمجال التي تخطط لاستخدامها لديها وصول كاف إلى الإنترنت إلى خدمة Defender for Identity. لمزيد من المعلومات، راجع تكوين إعدادات وكيل نقطة النهاية والاتصال بالإنترنت.

تخطيط الترحيل

قبل بدء الترحيل، اجمع جميع المعلومات التالية:

• تفاصيل الحساب لحساب خدمات الدليل الخاص بك.

• إعدادات إعلام Syslog.

• تفاصيل إعلام البريد الإلكتروني.

• جميع عضويات مجموعة أدوار ATA.

• تفاصيل تكامل VPN.

• استثناءات التنبيه. لا يمكن نقل الاستثناءات من ATA إلى Defender for Identity، لذلك يلزم تفاصيل كل استثناء لنسخ الاستثناءات ك Defender for Identity في Microsoft Defender XDR.

• تفاصيل الحساب لعلامات الكيان. إذا لم يكن لديك علامات كيان مخصصة بالفعل، فقم بإنشاء علامات جديدة للاستخدام مع Defender for Identity. لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.

• قائمة كاملة بجميع الكيانات، مثل أجهزة الكمبيوتر أو المجموعات أو المستخدمين، التي تريد وضع علامة عليها يدويا ككيانات حساسة. لمزيد من المعلومات، راجع علامات كيان Defender for Identity في Microsoft Defender XDR.

• تفاصيل جدولة التقارير، بما في ذلك قائمة بجميع التقارير والتوقيت المجدول.

الانتقال إلى Defender for Identity

استخدم الخطوات التالية للترحيل إلى Defender for Identity:

1. إنشاء مساحة عمل Defender for Identity الجديدة.

2. قم بإلغاء تثبيت بوابة ATA الخفيفة على جميع وحدات التحكم بالمجال.

3. تثبيت Defender for Identity Sensor على جميع وحدات التحكم بالمجال:

   1. قم بتنزيل ملفات مستشعر Defender for Identity واسترداد مفتاح الوصول.

   2. قم بتثبيت مستشعرات Defender for Identity على وحدات التحكم بالمجال.

4. قم بتكوين مستشعر Defender for Identity.

بعد اكتمال الترحيل، اسمح بساعتين لإكمال المزامنة الأولية قبل الانتقال إلى مهام التحقق من الصحة.

التحقق من صحة الترحيل

في Microsoft Defender XDR، تحقق من المناطق التالية للتحقق من صحة الترحيل:

• راجع أي مشكلات صحية لعلامات مشكلات الخدمة.
• راجع سجلات أخطاء مستشعر Defender for Identity لأي أخطاء غير عادية.

أنشطة ما بعد الترحيل

بعد إكمال الترحيل إلى Defender for Identity، قم بما يلي لتنظيف موارد ATA القديمة:

1. تأكد من تسجيل أو معالجة جميع تنبيهات ATA الموجودة. لا يتم استيراد تنبيهات أمان ATA الحالية إلى Defender for Identity مع الترحيل.

2. قم بأحد الإجراءات التالية أو كليهما:

   • إيقاف تشغيل مركز ATA. نوصي بالاحتفاظ ببيانات ATA عبر الإنترنت لفترة من الوقت.
   • قم بنسخ Mongo DB احتياطيا إذا كنت تريد الاحتفاظ ببيانات ATA إلى أجل غير مسمى. لمزيد من المعلومات، راجع النسخ الاحتياطي لقاعدة بيانات ATA.

المعلومات ذات الصلة

بعد الترحيل إلى Defender for Identity، تعرف على المزيد حول التحقيق في التنبيهات في Microsoft Defender XDR. لمزيد من المعلومات، اطلع على:

• فهم تنبيهات الأمان
• التحقيق في تنبيهات أمان Defender for Identity في Microsoft Defender XDR