Advanced Threat Analytics (ATA) – Microsoft Defender for Identity
Ez a cikk azt ismerteti, hogyan migrálhat egy meglévő ATA-telepítésről egy Microsoft Defender for Identity érzékelőre, és az alábbi lépéseket tartalmazza:
- A Defender for Identity szolgáltatás előfeltételeinek áttekintése és megerősítése
- Meglévő ATA-konfiguráció dokumentálása
- A migrálás megtervezása
- A Defender for Identity szolgáltatás beállítása és konfigurálása
- Migrálás utáni ellenőrzések és ellenőrzések végrehajtása
- Az ATA leszerelése
Az ATA egy különálló helyszíni megoldás több összetevővel, például az ATA-központtal, amely dedikált hardvert igényel a helyszínen.
A Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja. A megoldás nagy mértékben skálázható, és gyakran frissül.
Az ATA-érzékelővel ellentétben a Defender for Identity-érzékelő olyan adatforrásokat is használ, mint például a Windows esemény-nyomkövetése (ETW), amely lehetővé teszi a Defender for Identity számára, hogy további észleléseket biztosítson. A Defender for Identity a következőket is biztosítja:
- Többerdős környezetek támogatása
- A Microsoft biztonsági pontszámának állapotértékelései
- UEBA-képességek
- Közvetlen integráció más szolgáltatásokkal, például Microsoft Defender for Cloud Apps és Microsoft Entra a helyszíni és hibrid környezetek hibrid nézetének megtekintéséhez
- És ez még nem minden
A Defender for Identity a Microsoft 365 biztonsági portfólióját is használja a tartományok közötti fenyegetési adatok automatikus elemzéséhez, és egyetlen irányítópulton készít teljes képet az egyes támadásokról.
Fontos
Ez a migrálási útmutató csak a Defender for Identity érzékelőihez készült, önálló érzékelőkhöz nem.
Bár az ATA bármely verziójából migrálhat a Defender for Identitybe, az ATA-adatok nem lesznek migrálva. Ezért azt javasoljuk, hogy őrizze meg az ATA-adatközpontot és a folyamatban lévő vizsgálatokhoz szükséges riasztásokat mindaddig, amíg az összes ATA-riasztást be nem zárja vagy ki nem szervizeli.
Megjegyzés:
Az ATA végleges kiadása általánosan elérhető. Az ATA 2021. január 12-én megszüntette az alapvető technikai támogatást. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.
Előfeltételek
Az ATA-ról a Defender for Identityre való migráláshoz olyan környezettel és tartományvezérlőkkel kell rendelkeznie, amelyek megfelelnek a Defender for Identity érzékelői követelményeinek. További információ: Microsoft Defender for Identity előfeltételek.
Győződjön meg arról, hogy a használni kívánt tartományvezérlők mindegyike rendelkezik elegendő internetkapcsolattal a Defender for Identity szolgáltatáshoz. További információ: Végpontproxy és internetkapcsolat beállításainak konfigurálása.
A migrálás megtervezása
A migrálás megkezdése előtt gyűjtse össze a következő információkat:
A Címtárszolgáltatások-fiók fiókadatai.
Syslog értesítési beállítások.
Email értesítés részleteit.
Riasztáskivételek. A kizárások nem vihetők át az ATA-ból a Defender for Identitybe, ezért az egyes kizárások részleteire azért van szükség, hogy a kizárásokat a Microsoft Defender XDR Defender for Identityként replikálja.
Az entitáscímkék fiókadatai. Ha még nem rendelkezik dedikált entitáscímkékkel, hozzon létre újakat a Defender for Identity használatához. További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.
Az összes olyan entitás, például számítógép, csoport vagy felhasználó teljes listája, amelyet manuálisan bizalmas entitásként szeretne címkézni. További információ: A Defender for Identity entitáscímkéi a Microsoft Defender XDR.
A jelentésütemezés részletei, beleértve az összes jelentés listáját és az ütemezett időzítést.
Figyelem!
Ne távolítsa el az ATA-központot, amíg el nem távolítja az összes ATA-átjárót. Az ATA-központ ATA-átjárókkal való eltávolítása továbbra is veszélyforrások elleni védelem nélkül teszi közzé a szervezetet.
Váltás a Defender for Identityre
Az alábbi lépésekkel migrálhat a Defender for Identitybe:
Távolítsa el az egyszerűsített ATA-átjárót az összes tartományvezérlőn.
Telepítse a Defender for Identity Sensort az összes tartományvezérlőre:
Töltse le a Defender for Identity érzékelőfájljait , és kérje le a hozzáférési kulcsot.
Telepítse a Defender for Identity érzékelőit a tartományvezérlőkre.
Az áttelepítés befejezése után hagyjon két órát a kezdeti szinkronizálás befejezésére, mielőtt továbblépne az érvényesítési feladatokkal.
A migrálás ellenőrzése
A migrálás ellenőrzéséhez ellenőrizze Microsoft Defender XDR a következő területeket:
- Tekintse át az esetleges állapotproblémákat a szolgáltatással kapcsolatos problémák jeleiért.
- Tekintse át a Defender for Identity-érzékelő hibanaplóit a szokatlan hibákért.
Migrálás utáni tevékenységek
A Defender for Identityre való migrálás befejezése után tegye a következőket az örökölt ATA-erőforrások törléséhez:
Győződjön meg arról, hogy minden meglévő ATA-riasztást rögzített vagy kijavított. A meglévő ATA biztonsági riasztások nem lesznek importálva a Defender for Identitybe a migrálás során.
Hajtsa végre az alábbi műveletek egyikét vagy mindkettőt:
- Szerelje le az ATA-központot. Javasoljuk, hogy az ATA-adatokat egy ideig online állapotban tartsa.
- Ha az ATA-adatokat határozatlan ideig szeretné megőrizni, biztonsági másolatot készít a Mongo DB-ről. További információ: Az ATA-adatbázis biztonsági mentése.
Kapcsolódó információk
Az identitáshoz készült Defenderbe való migrálás után további információ a riasztások vizsgálatáról Microsoft Defender XDR. További információ: