Sdílet prostřednictvím

AtA (Advanced Threat Analytics) pro Microsoft Defender for Identity

  • Článek

Tento článek popisuje, jak migrovat z existující instalace ATA na Microsoft Defender for Identity senzor, a obsahuje následující kroky:

  • Kontrola a potvrzení požadavků služby Defender for Identity
  • Zdokumentujte stávající konfiguraci ATA.
  • Plánování migrace
  • Nastavení a konfigurace služby Defender for Identity
  • Provádění kontrol a ověření po migraci
  • Vyřazení ATA z provozu

ATA je samostatné místní řešení s několika komponentami, jako je ATA Center, které vyžaduje vyhrazený hardware místně.

Defender for Identity je cloudové řešení zabezpečení, které využívá vaše místní Active Directory signály. Řešení je vysoce škálovatelné a často se aktualizuje.

Na rozdíl od senzoru ATA používá senzor Defenderu for Identity také zdroje dat, jako je trasování událostí pro Windows (ETW), které umožňuje defenderu pro identitu poskytovat další detekce. Defender for Identity také poskytuje:

Defender for Identity také používá portfolio zabezpečení Microsoftu 365 k automatické analýze dat o hrozbách mezi doménou a vytváří úplný přehled o každém útoku na jednom řídicím panelu.

Důležité

Tento průvodce migrací je určený jenom pro senzory Defenderu for Identity, nikoli pro samostatné senzory.

I když můžete na Defender for Identity migrovat z libovolné verze ATA, vaše data ATA se nemigrují. Proto doporučujeme, abyste měli v plánu uchovávat datacentrum ATA a všechny výstrahy potřebné pro probíhající šetření, dokud nebudou všechna upozornění ATA uzavřena nebo napravena.

Poznámka

Konečná verze ATA je obecně dostupná. Hlavní fáze technické podpory ATA skončila 12. ledna 2021. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete v našem blogu.

Požadavky

Pokud chcete migrovat z ATA na Defender for Identity, musíte mít prostředí a řadiče domény, které splňují požadavky na senzory Defenderu for Identity. Další informace najdete v tématu požadavky Microsoft Defender for Identity.

Ujistěte se, že všechny řadiče domény, které plánujete používat, mají dostatečný přístup k internetu ke službě Defender for Identity. Další informace najdete v tématu Konfigurace proxy koncového bodu a nastavení připojení k internetu.

Plánování migrace

Před zahájením migrace shromážděte všechny následující informace:

Upozornění

AtA Center neodinstalujte, dokud se neodeberou všechny komponenty ATA Gateway. Odinstalace KOMPONENTY ATA Center se stále spuštěnými službami ATA Gateway bude vaše organizace vystavená bez ochrany před hrozbami.

Přechod na Defender for Identity

K migraci na Defender for Identity použijte následující postup:

  1. Vytvořte nový pracovní prostor Defenderu for Identity.

  2. Odinstalujte ATA Lightweight Gateway na všech řadičích domény.

  3. Nainstalujte senzor Defender for Identity na všechny řadiče domény:

    1. Stáhněte si soubory senzoru Defenderu for Identity a načtěte přístupový klíč.

    2. Nainstalujte senzory Defenderu for Identity na řadiče domény.

  4. Nakonfigurujte senzor Defenderu for Identity.

Po dokončení migrace počkejte dvě hodiny, než se dokončí počáteční synchronizace, a teprve pak pokračujte s ověřovacími úlohami.

Ověření migrace

V Microsoft Defender XDR zkontrolujte následující oblasti a ověřte migraci:

Aktivity po migraci

Po dokončení migrace na Defender for Identity vyčistěte starší prostředky ATA následujícím postupem:

  1. Ujistěte se, že jste zaznamenali nebo opravili všechna existující upozornění ATA. Stávající výstrahy zabezpečení ATA se při migraci neimportují do Defenderu for Identity.

  2. Proveďte jednu nebo obě z následujících věcí:

    • Vyřadíte ATA Center z provozu. Doporučujeme uchovávat data ATA po určitou dobu online.
    • Pokud chcete data ATA uchovávat na neomezenou dobu, zálohujte mongo DB. Další informace najdete v tématu Zálohování databáze ATA.

Po migraci na Defender for Identity si přečtěte další informace o zkoumání výstrah v Microsoft Defender XDR. Další informace najdete tady: