Advanced Threat Analytics (ATA) per Microsoft Defender per identità
Questo articolo descrive come eseguire la migrazione da un'installazione di ATA esistente a un sensore di Microsoft Defender per identità e include i passaggi seguenti:
- Esaminare e confermare i prerequisiti del servizio Defender per identità
- Documentare la configurazione ATA esistente
- Pianificare la migrazione
- Configurare e configurare il servizio Defender per identità
- Eseguire controlli e verifiche post-migrazione
- Rimuovere le autorizzazioni di ATA
ATA è una soluzione locale autonoma con più componenti, ad esempio ATA Center che richiede hardware dedicato in locale.
Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali Active Directory locale. La soluzione è altamente scalabile e viene aggiornata di frequente.
A differenza del sensore ATA, il sensore Defender per identità usa anche origini dati come Event Tracing for Windows (ETW) che consente a Defender per identità di fornire rilevamenti aggiuntivi. Defender per identità offre anche:
- Supporto per ambienti con più foreste
- Valutazioni del comportamento di Microsoft Secure Score
- Funzionalità UEBA
- Integrazioni dirette con altri servizi, ad esempio app Microsoft Defender per il cloud e Microsoft Entra, per una visualizzazione ibrida di ciò che avviene in ambienti locali e ibridi
- E altro ancora...
Defender per identità usa anche il portfolio di sicurezza di Microsoft 365 per analizzare automaticamente i dati sulle minacce tra domini, creando un quadro completo di ogni attacco in un singolo dashboard.
Importante
Questa guida alla migrazione è progettata solo per i sensori defender per identità e non per i sensori autonomi.
Sebbene sia possibile eseguire la migrazione a Defender per identità da qualsiasi versione di ATA, i dati ATA non vengono migrati. Pertanto, è consigliabile pianificare di conservare il data center ATA e gli avvisi necessari per le indagini in corso fino a quando tutti gli avvisi ATA non vengono chiusi o corretti.
Nota
La versione finale di ATA è disponibile a livello generale. ATA ha terminato il supporto Mainstream il 12 gennaio 2021. Il supporto esteso continuerà fino a gennaio 2026. Per altre informazioni, leggere il blog.
Prerequisiti
Per eseguire la migrazione da ATA a Defender per identità, è necessario disporre di un ambiente e di controller di dominio che soddisfano i requisiti del sensore defender per identità. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.
Assicurarsi che tutti i controller di dominio che si prevede di usare abbiano accesso Internet sufficiente al servizio Defender per identità. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.
Pianificare la migrazione
Prima di avviare la migrazione, raccogliere tutte le informazioni seguenti:
Tutte le appartenenze ai gruppi di ruoli ATA.
Dettagli sull'integrazione della VPN.
Esclusioni di avvisi. Le esclusioni non sono trasferiscibili da ATA a Defender per identità, quindi i dettagli di ogni esclusione sono necessari per replicare le esclusioni come Defender per identità in Microsoft Defender XDR.
Dettagli dell'account per i tag di entità. Se non si dispone già di tag di entità dedicati, crearne di nuovi da usare con Defender per identità. Per altre informazioni, vedere Tag di entità defender per identità in Microsoft Defender XDR.
Elenco completo di tutte le entità, ad esempio computer, gruppi o utenti, che si desidera contrassegnare manualmente come entità sensibili. Per altre informazioni, vedere Tag di entità defender per identità in Microsoft Defender XDR.
Dettagli di pianificazione dei report, incluso un elenco di tutti i report e la tempistica pianificata.
Attenzione
Non disinstallare ATA Center finché non vengono rimossi tutti i gateway ATA. La disinstallazione di ATA Center con i gateway ATA ancora in esecuzione lascia l'organizzazione esposta senza alcuna protezione dalle minacce.
Passare a Defender per identità
Seguire questa procedura per eseguire la migrazione a Defender per identità:
Creare la nuova area di lavoro di Defender per identità.
Disinstallare il gateway ATA Lightweight in tutti i controller di dominio.
Installare il sensore defender per identità in tutti i controller di dominio:
Scaricare i file del sensore defender per identità e recuperare la chiave di accesso.
Installare i sensori di Defender per identità nei controller di dominio.
Configurare il sensore defender per identità.
Al termine della migrazione, attendere due ore per il completamento della sincronizzazione iniziale prima di procedere con le attività di convalida.
Convalidare la migrazione
In Microsoft Defender XDR controllare le aree seguenti per convalidare la migrazione:
- Esaminare eventuali problemi di integrità per i problemi di servizio.
- Esaminare i log degli errori del sensore defender per identità per eventuali errori insoliti.
Attività successive alla migrazione
Dopo aver completato la migrazione a Defender per identità, eseguire le operazioni seguenti per pulire le risorse ATA legacy:
Assicurarsi di aver registrato o risolto tutti gli avvisi ATA esistenti. Gli avvisi di sicurezza ATA esistenti non vengono importati in Defender per identità con la migrazione.
Eseguire una o entrambe le operazioni seguenti:
- Rimuovere le autorizzazioni di ATA Center. È consigliabile mantenere online i dati ATA per un periodo di tempo.
- Eseguire il backup di Mongo DB se si vogliono mantenere i dati ATA per un periodo illimitato. Per altre informazioni, vedere Backup del database ATA.
Informazioni correlate
Dopo la migrazione a Defender per identità, vedere Altre informazioni sull'analisi degli avvisi in Microsoft Defender XDR. Per altre informazioni, vedi: