ATA (Advanced Threat Analytics) à Microsoft Defender pour l’identité

Notes

La version finale d’ATA est mise à la disposition générale. ATA prendra fin au support standard le 12 janvier 2021. Le support étendu se poursuivra jusqu’au 2026 janvier. Pour plus d’informations, consultez notre blog.

Utilisez ce guide pour passer d’une installation ATA existante au service ( Microsoft Defender pour Identity ). Ce guide explique les conditions Defender pour Identity préalables et la configuration requise, ainsi que les détails de la planification et de l’exécution de votre déplacement. Des étapes de validation et des conseils pour tirer parti des dernières solutions de sécurité et de protection contre les menaces avec Defender pour Identity après l’installation sont également inclus.

Pour en savoir plus sur les différences entre ATA et Defender pour Identity , consultez le Defender pour Identity Forum aux questions.

Dans ce guide, vous allez :

  • Vérifier et confirmer les Defender pour Identity conditions préalables du service
  • Documenter votre configuration ATA existante
  • Planifier votre transfert
  • Configurer et configurer votre Defender pour Identity service
  • Effectuer des vérifications post-transfert
  • Désactiver ATA une fois le transfert terminé

Notes

Le passage à Defender pour Identity d’ATA est possible à partir de n’importe quelle version d’ATA. Toutefois, comme les données ne peuvent pas être déplacées d’ATA vers Defender pour Identity , il est recommandé de conserver les données et les alertes du centre ATA requises pour les investigations en cours jusqu’à ce que toutes les alertes ATA soient fermées ou corrigées.

Prérequis

  • Un locataire Azure Active Directory avec au moins un administrateur global/de sécurité est requis pour créer une Defender pour Identity instance. Chaque instance Defender pour Identity prend en charge une limite de forêt Active Directory multiple et le niveau fonctionnel de forêt (FFL) Windows 2003 et versions ultérieures.

  • Defender pour Identity nécessite .NET Framework 4,7 ou une version ultérieure et peut nécessiter un contrôleur de domaine (redémarrage) si la version actuelle de .NET Framework n’est pas 4,7 ou version ultérieure.

  • Assurez-vous que vos contrôleurs de domaine répondent à toutes les Defender pour Identity conditions requises par le capteur et que votre environnement est conforme à toutes les Defender pour Identity exigences.

  • Vérifiez que tous les contrôleurs de domaine que vous envisagez d’utiliser disposent d’un accès Internet suffisant au Defender pour Identity service. Vérifiez et confirmez que vos contrôleurs de domaine satisfont à la Defender pour Identity Configuration requise du proxy.

Notes

Ce guide de migration est conçu Defender pour Identity uniquement pour les capteurs.

Plan

Veillez à rassembler les informations suivantes avant de commencer le transfert :

  1. Détails de votre compte Directory Services.
  2. Paramètres de notification Syslog.
  3. Détails des notifications par e-mail.
  4. Appartenance au groupe de rôle ATA
  5. Intégration VPN
  6. Exclusions des alertes
  7. Détails des comptes HoneyToken.
  8. Liste complète de toutes les entités (ordinateurs, groupes, utilisateurs) à étiqueter manuellement comme entités sensibles.
  9. Détails de la planification des rapports (liste des rapports et planifications).

Notes

Ne désinstallez pas le centre ATA tant que toutes les passerelles ATA n’ont pas été supprimées. Si vous désinstallez le centre ATA alors que des passerelles ATA sont en cours d’exécution, votre organisation se retrouve sans aucune protection contre les menaces.

Déplacer

Procédez à la migration Defender pour Identity en deux étapes simples :

Étape 1 : créer et installer Defender pour l’instance d’identité et les capteurs

  1. Créer votre nouvelle Defender pour Identity instance

  2. Désinstallez la passerelle légère ATA sur tous les contrôleurs de domaine.

  3. Installez le Defender pour Identity capteur sur tous les contrôleurs de domaine :

Étape 2 : configurer et valider Defender pour l’instance d’identité

Notes

Certaines tâches de la liste suivante ne peuvent pas être effectuées avant d’installer des Defender pour Identity capteurs, puis d’effectuer une synchronisation initiale, comme la sélection d’entités pour le balisage sensible manuelle. Prévoyez jusqu’à 2 heures pour la synchronisation initiale.

Configuration

Connectez-vous au Defender pour Identity portail et effectuez les tâches de configuration suivantes.

Étape Action État
1 Définir des mises à jour différées sur une sélection de contrôleurs de domaine - [ ]
2 Détails du compte Services d’annuaire. - [ ]
3 Configurer des notifications Syslog - [ ]
4 Informations sur l’intégration du VPN - [ ]
5 Configurer l’intégration de WDATP - [ ]
6 Définir des comptes HoneyTokens - [ ]
7 Étiqueter les entités sensibles - [ ]
8 Créer des exclusions d’alerte de sécurité - [ ]
9 Activer/désactiver les notifications par e-mail - [ ]
10 Paramètres de planification des rapports (liste des rapports et planifications). - [ ]
11 Configurer des autorisations en fonction du rôle - [ ]
12 Configuration de notifications SIEM (adresse IP) - [ ]

Validation

Dans le Defender pour Identity portail :

Après le transfert

Cette section du guide présente les actions que vous pouvez effectuer à l’issue du transfert.

Notes

L’importation d’alertes de sécurité existantes à partir d’ATA vers Defender pour Identity n’est pas prise en charge. Veillez à enregistrer ou à corriger toutes les alertes ATA existantes avant de désactiver le centre ATA.

  • Désactiver le centre ATA

    • Pour référencer les données du centre ATA après le transfert, nous vous recommandons de conserver les données du centre en ligne pendant un certain temps. Une fois le centre ATA désactivé, le nombre de ressources peut généralement être réduit, surtout si les ressources sont une machine virtuelle.
  • Sauvegarder MongoDB

Mission accomplie

Félicitations ! Votre passage d’ATA à Defender pour Identity est terminé.

Étapes suivantes

En savoir plus sur Defender pour Identity les fonctionnalités, les fonctionnalités et les alertes de sécurité.

Rejoindre la communauté

Vous avez d’autres questions ou vous voulez discuter de Defender pour Identity et de la sécurité associée avec d’autres utilisateurs ? Rejoignez la Communauté Defender pour Identity !