Advanced Threat Analytics (ATA) zu Azure Advanced Threat Protection (Azure ATP)Advanced Threat Analytics (ATA) to Azure Advanced Threat Protection (Azure ATP)

Hinweis

Die endgültige Version von ATA ist allgemein verfügbar.The final release of ATA is generally available. ATA wird die grundlegende Unterstützung am 12. Januar 2021 beenden.ATA will end Mainstream Support on January 12, 2021. Der erweiterte Support wird bis zum 2026. Januar fortgesetzt.Extended Support will continue until January 2026. Weitere Informationen finden Sie in unserem Blog.For more information, read our blog.

Folgen Sie dieser Anleitung, um eine vorhandene ATA-Installation zum Azure Advanced Threat Protection-Dienst zu verschieben.Use this guide to move from an existing ATA installation to the Azure Advanced Threat Protection (Azure ATP) service. In der Anleitung sind sowohl Voraussetzungen und Anforderungen für Azure ATP beschrieben als auch Informationen zur Planung und Durchführung des Verschiebevorgangs enthalten.The guide explains Azure ATP prerequisites and requirements, and details how to plan and then complete your move. Zusätzlich finden Sie darin Überprüfungsschritte und Tipps zur Nutzung der neuesten Sicherheitslösungen und Schutzmöglichkeiten vor Bedrohungen mit Azure ATP nach der Installation.Validation steps and tips to take advantage of the latest threat protection and security solutions with Azure ATP after installation are also included.

Weitere Informationen zu den Unterschieden zwischen ATA und Azure ATP finden Sie unter Häufig gestellte Fragen zu Azure ATP.To learn more about the differences between ATA and Azure ATP, see the Azure ATP frequently asked questions.

In dieser Anleitung lernen Sie Folgendes:In this guide you will:

  • Überprüfen und Bestätigen der Voraussetzungen für den Azure ATP-DienstReview and confirm Azure ATP service prerequisites
  • Dokumentieren Ihrer vorhandenen ATA-KonfigurationDocument your existing ATA configuration
  • Planen des VerschiebevorgangsPlan your move
  • Einrichten und Konfigurieren Ihres Azure ATP-DienstsSet up and configure your Azure ATP service
  • Ausführen von Überprüfungen nach dem VerschiebevorgangPerform post move checks and verification
  • Außer Betrieb nehmen von ATA nach dem VerschiebenDecommission ATA after completing the move

Hinweis

Das Verschieben zu Azure ATP ist aus jeder beliebigen ATA-Version möglich.Moving to Azure ATP from ATA is possible from any ATA version. Beachten Sie aber dabei, dass keine Daten aus ATA zu Azure ATP verschoben werden können. Aus diesem Grund sollten Sie alle ATA Center-Daten und -Warnungen, die für laufende Untersuchungen erforderlich sind, zurückhalten, bis alle ATA-Warnungen geschlossen oder behoben wurden.However, as data cannot be moved from ATA to Azure ATP, it is recommended to retain your ATA Center data and alerts required for ongoing investigations until all ATA alerts are closed or remediated.

VoraussetzungenPrerequisites

  • Ein Azure Active Directory-Mandant mit mindestens einem globalen Administrator oder einem Sicherheitsadministrator ist erforderlich, um eine Azure ATP-Instanz zu erstellen.An Azure Active Directory tenant with at least one global/security administrator is required to create an Azure ATP instance. Jede Azure ATP-Instanz unterstützt mehrere Active Directory-Gesamtstrukturbegrenzungen und die Gesamtstrukturfunktionsebene (Forest Functional Level, FFL) von Windows 2003 und höher.Each Azure ATP instance supports a multiple Active Directory forest boundary and Forest Functional Level (FFL) of Windows 2003 and above.

  • Azure ATP erfordert .NET Framework 4.7 oder höher und möglicherweise auch einen Domänencontroller (Neustart), falls Sie eine ältere Version als .NET Framework 4.7 verwenden.Azure ATP requires .Net Framework 4.7 or later and may require a domain controller (restart) if your current .Net Framework version is not 4.7 or later.

  • Stellen Sie sicher, dass Ihre Domänencontroller alle Anforderungen für den Azure ATP-Sensor erfüllen und Ihre Umgebung alle Anforderungen für Azure ATP erfüllt.Make sure your domain controllers meet all the Azure ATP sensor requirements and your environment meets all Azure ATP requirements.

  • Überprüfen Sie, ob alle Domänencontroller, die Sie verwenden möchten, über ausreichenden Internetzugriff auf den Azure ATP-Dienst verfügen.Validate that all domain controllers you plan to use have sufficient internet access to the Azure ATP service. Überprüfen Sie, ob Ihre Domänencontroller die Konfigurationsanforderungen für den Azure ATP-Proxy erfüllen, und bestätigen Sie dies.Check and confirm your domain controllers meet the Azure ATP proxy configuration requirements.

Hinweis

Diese Migrationsanleitung bezieht sich ausschließlich auf Azure ATP-Sensoren.This migration guide is designed for Azure ATP sensors only.

PlanPlan

Stellen Sie sicher, dass Sie die folgenden Informationen gesichert haben, bevor Sie mit dem Verschieben beginnen:Make sure to gather the following information before starting your move:

  1. Kontodetails für Ihr Verzeichnisdienste-KontoAccount details for your Directory Services account.
  2. Einstellungen für Syslog-BenachrichtigungenSyslog notification settings.
  3. E-Mail-BenachrichtigungsdetailsEmail notification details.
  4. Gruppenmitgliedschaft für ATA-RollenATA roles group membership
  5. VPN-IntegrationVPN integration
  6. WarnungsausschlüsseAlert exclusions
  7. Kontodetails für Honeytoken-KontenAccount details for HoneyToken accounts.
    • Falls Sie noch keine Honeytoken-Konten dediziert haben, erfahren Sie mehr über Honeytokens in Azure ATP, und erstellen Sie neue Konten für deren Verwendung.If you don't already have dedicated HoneyToken accounts, learn more about HoneyTokens in Azure ATP and create new accounts to use for this purpose.
  8. Eine vollständige Liste aller Entitäten (Computer, Gruppen, Benutzer), die Sie manuell als „sensible Entitäten“ kennzeichnen möchtenComplete list of all entities (computers, groups, users) you wish to manually tag as Sensitive entities.
  9. Details der Berichtsplanung (Liste der Berichte und geplante zeitliche Steuerung)Report scheduling details (list of reports and scheduled timing).

Hinweis

Deinstallieren Sie ATA Center erst, nachdem alle ATA-Gateways entfernt wurden.Do not uninstall the ATA Center until all ATA Gateways are removed. Wenn ATA Center deinstalliert wird, während ATA-Gateways noch ausgeführt werden, ist Ihre Organisation nicht mehr vor Bedrohungen geschützt.Uninstalling the ATA Center with ATA Gateways still running leaves your organization exposed with no threat protection.

VerschiebenMove

Schließen Sie den Verschiebevorgang zu Azure ATP in zwei einfachen Schritten ab:Complete your move to Azure ATP in two easy steps:

Schritt 1: Erstellen und Installieren von Azure ATP-Instanz und -SensorenStep 1: Create and install Azure ATP instance and sensors

  1. Erstellen Sie Ihre neue Azure ATP-InstanzCreate your new Azure ATP instance

  2. Deinstallieren Sie das ATA-Lightweight-Gateways auf allen Domänencontrollern.Uninstall the ATA Lightweight Gateway on all domain controllers.

  3. Installieren Sie den Azure ATP-Sensor auf allen Domänencontrollern:Install the Azure ATP Sensor on all domain controllers:

Schritt 2: Konfigurieren und Überprüfen der Azure ATP-InstanzStep 2: Configure and validate Azure ATP instance

Hinweis

Bestimmte Aufgaben in der folgenden Liste, z. B. das Auswählen von Entitäten für manuelles sensibles Tagging, können erst abgeschlossen werden, nachdem Azure ATP-Sensoren installiert wurden und eine erste Synchronisierung erfolgt ist.Certain tasks in the following list cannot be completed before installing Azure ATP sensors and then completing an initial sync, such as selecting entities for manual Sensitive tagging. Die erste Synchronisierung kann bis zu 2 Stunden dauern.Allow up to 2 hours for the initial sync to be completed.

KonfigurationConfiguration

Melden Sie sich im Azure ATP-Portal an, und schließen Sie die folgenden Konfigurationsaufgaben ab.Sign in to the Azure ATP portal and complete the following configuration tasks.

SchrittStep AktionAction StatusStatus
11 Festlegen von verzögerten Updates für bestimmte DomänencontrollerSet delayed updates on a selection of domain controllers - [ ]- [ ]
22 Kontodetails für VerzeichnisdiensteDirectory Services account details - [ ]- [ ]
33 Konfigurieren von Syslog-BenachrichtigungenConfigure Syslog notifications - [ ]- [ ]
44 Integrieren von VPN-InformationenIntegrate VPN information - [ ]- [ ]
55 Konfigurieren der WDATP-IntegrationConfigure WDATP integration - [ ]- [ ]
66 Festlegen von Honeytoken-KontenSet HoneyTokens accounts - [ ]- [ ]
77 Tagging von sensiblen EntitätenTag Sensitive entities - [ ]- [ ]
88 Erstellen von SicherheitswarnungsausschlüssenCreate Security alert exclusions - [ ]- [ ]
99 Aktivieren/Deaktivieren von E-Mail-BenachrichtigungenEmail notification toggles - [ ]- [ ]
1010 Einstellungen für Berichtszeitplan (Liste der Berichte und geplante zeitliche Steuerung)Schedule report settings (list of reports and scheduled timing) - [ ]- [ ]
1111 Konfigurieren von rollenbasierten BerechtigungenConfigure Role based permissions - [ ]- [ ]
1212 Konfigurieren von SIEM-Benachrichtigungen (IP-Adresse)SIEM notification configuration (IP address) - [ ]- [ ]

ValidationValidation

Aufgaben im Azure ATP-Portal:Within the Azure ATP portal:

Nach dem VerschiebenAfter the move

In diesem Abschnitt der Anleitung wird erläutert, welche Aktionen nach dem Verschieben ausgeführt werden können.This section of the guide explains the actions that can be performed after completing your move.

Hinweis

Das Importieren vorhandener Sicherheitswarnungen aus ATA zu ATP wird nicht unterstützt.Import of existing security alerts from ATA to ATP are not supported. Stellen Sie sicher, dass Sie alle vorhandenen ATA-Warnungen aufgezeichnet oder behoben haben, bevor Sie ATA Center außer Betrieb setzen.Make sure to record or remediate all existing ATA alerts before decommissioning the ATA Center.

  • ATA Center außer Betrieb nehmenDecommission the ATA Center

    • Es empfiehlt sich, die ATA Center-Daten noch für eine gewisse Zeit online zu speichern, um sie nach dem Verschieben zu referenzieren.To reference the ATA Center data after the move, we recommend keeping the center data online for a period of time. Nach der Außerbetriebnahme von ATA Center hat sich die Anzahl der Ressourcen in der Regel verringert, besonders, wenn es sich dabei um virtuelle Computer handelt.After decommissioning the ATA Center, the number of resources can typically be reduced, especially if the resources are a Virtual Machine.
  • Sichern von Mongo DBBack up Mongo DB

Mission erfüllt.Mission accomplished

Gratulation!Congratulations! Sie haben die Migration von ATA zu Azure ATP erfolgreich abgeschlossen.Your move from ATA to Azure ATP is complete.

Nächste SchritteNext steps

Erfahren Sie mehr über Features, Funktionalität und Sicherheitswarnungen von Azure ATP.Learn more about Azure ATP features, functionality, and security alerts.

Beitritt zur CommunityJoin the Community

Haben Sie weitere Fragen, oder möchten Sie mit anderen über Azure ATP und damit verbundene Sicherheitsaspekte diskutieren?Do you have more questions, or an interest in discussing Azure ATP and related security with others? Treten Sie noch heute der Azure ATP-Community bei!Join the Azure ATP Community today!