Advanced Threat Analytics (ATA) から Defender for Identity へ

[アーティクル]
03/21/2024

この記事では、既存の ATA インストールから Microsoft Defender for Identity センサーに移行する方法について説明します。その手順は次のとおりです。

Defender for Identity サービスの前提条件を確認する
既存の ATA 構成を文書化する
移行を計画する
Defender for Identity サービスをセットアップおよび構成する
移行後のチェックと検証を実行する
ATA を停止する

ATA は、専用のハードウェアをオンプレミスで必要とする ATA センターなど、複数のコンポーネントを備えたスタンドアロンのオンプレミスソリューションです。

Defender for Identity は、オンプレミスの Active Directory シグナルを使用するクラウドベースのセキュリティソリューションです。ソリューションは拡張性が高く、頻繁に更新されます。

ATA センサーとは対照的に、Defender for Identity センサーでは、Windows イベントトレーシング (ETW) などのデータソース使用するため、Defender for Identity はさらに多くの検出を行うことができます。 Defender for Identity では、次も提供されます。

マルチフォレスト環境のサポート
Microsoft セキュアスコア態勢評価
UEBA 機能
Microsoft Defender for Cloud Apps や Microsoft Entra といった他のサービスと直接統合して、オンプレミス環境とハイブリッド環境の両方で行われている作業のハイブリッドビューを提供します。
その他

また Defender for Identity は、Microsoft 365 セキュリティポートフォリオを使用して、クロスドメイン脅威データを自動的に分析し、各攻撃の全体像を 1 つのダッシュボードに構築します。

重要

この移行ガイドは、Defender for Identity センサー専用に設計されています。スタンドアロンのセンサーは対象外です。

任意の ATA バージョンから Defender for Identity に移行できますが、ATA のデータは移行されません。そのため、すべての ATA アラートがクローズされるか修復されるまで、ATA データセンターおよび継続的な調査に必要なアラートの保持を計画することをお勧めします。

Note

ATA の最終リリースは、一般公開されています。 ATA はメインストリームのサポートを 2021 年 1 月 12 日に終了しました。延長サポートは 2026 年 1 月まで継続されます。詳細については、こちらのブログ記事を参照してください。

前提条件

ATA から Defender for Identity に移行するには、Defender for Identity センサーの要件を満たす環境とドメインコントローラーが必要です。詳細については、「Microsoft Defender for Identity の前提条件」を参照してください。

使用する予定のドメインコントローラーに、Defender for Identity サービスへの十分なインターネットアクセスがあることを確認します。詳しくは、「エンドポイントプロキシとインターネット接続の設定を構成する」を参照してください。

移行を計画する

移行を開始する前に、次のすべての情報を収集します。

ディレクトリサービスアカウントのアカウント詳細。
Syslog 通知の設定。
電子メールによる通知の詳細。
すべての ATA ロールグループのメンバーシップ。
VPN 統合の詳細。
アラートの除外。除外は ATA から Defender for Identity に転送できないため、Microsoft Defender XDR で Defender for Identity が除外をレプリケートするには、各除外の詳細が必要です。
エンティティタグのアカウントの詳細。専用のエンティティタグがまだない場合は、Defender for Identity で使用する新しいエンティティタグを作成します。詳細については、「Microsoft Defender XDR の Defender for Identity エンティティタグ」を参照してください。
手動で機密エンティティとしてタグ付けするすべてのエンティティ (コンピューター、グループ、ユーザーなど) の完全な一覧。詳細については、「Microsoft Defender XDR の Defender for Identity エンティティタグ」を参照してください。
レポートのスケジュール設定の詳細 (すべてのレポートとスケジュールされたタイミングの一覧)。

注意事項

すべての ATA ゲートウェイが削除されるまで、ATA センターをアンインストールしないでください。 ATA ゲートウェイがまだ実行されている ATA センターをアンインストールすると、組織は脅威への保護がない状態に晒されます。

Defender for Identity に移行する

次の手順に従って Defender for Identity に移行します。

新規のDefender for Identity ワークスペースを作成します。
すべてのドメインコントローラーで ATA Lightweight Gateway をアンインストールします。
すべてのドメインコントローラーに Defender for Identity センサーをインストールします。
1. Defender for Identity センサーファイルをダウンロードし、アクセスキーを取得します。
2. ドメインコントローラーに Defender for Identity センサーをインストールします。
Defender for Identity センサーを構成します。

移行が完了したら、最初の同期が完了するまで 2 時間待ってから検証タスクに進みます。

移行を検証する

Microsoft Defender XDR で、次の内容をチェックして移行を検証します。

サービスの問題の兆候がないかについて、正常性の問題を確認します。
Defender for Identity センサーのエラーログで、エラーがないか確認します。

移行後のアクティビティ

Defender for Identity への移行が完了したら、次の操作を行ってレガシ ATA リソースをクリーンアップします。

既存のすべての ATA アラートを記録または修復したことを確認します。既存の ATA セキュリティアラートは、Defender for Identity への移行時にインポートされません。
次のいずれかまたは両方の操作を行います。
- ATA センターの使用停止。 ATA データは一定期間オンラインにしておくことをお勧めします。
- ATA データを無期限に保持する場合は、Mongo DB をバックアップします。詳細については、「ATA データベースのバックアップ」を参照してください。

Defender for Identity に移行した後で、Microsoft Defender XDR でのアラートの調査についてさらに知識を深めてください。詳細については、以下を参照してください: