Advanced Threat Analytics (ATA) naar Microsoft Defender for Identity

In dit artikel wordt beschreven hoe u migreert van een bestaande ATA-installatie naar een Microsoft Defender for Identity-sensor en de volgende stappen bevat:

• Vereisten voor Defender for Identity-service controleren en bevestigen
• Uw bestaande ATA-configuratie documenteer
• Uw migratie plannen
• Uw Defender for Identity-service instellen en configureren
• Controles en verificaties na de migratie uitvoeren
• ATA buiten gebruik stellen

ATA is een zelfstandige on-premises oplossing met meerdere onderdelen, zoals het ATA Center waarvoor toegewezen hardware on-premises is vereist.

Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory-signalen. De oplossing is zeer schaalbaar en wordt regelmatig bijgewerkt.

In tegenstelling tot de ATA-sensor gebruikt de Defender for Identity-sensor ook gegevensbronnen zoals Event Tracing for Windows (ETW) waarmee Defender for Identity extra detecties kan leveren. Defender for Identity biedt ook:

• Ondersteuning voor omgevingen met meerdere forests
• Microsoft Secure Score-houdingsevaluaties
• UEBA-mogelijkheden
• Directe integraties met andere services, zoals Microsoft Defender voor Cloud Apps en Microsoft Entra, voor een hybride weergave van wat er plaatsvindt in zowel on-premises als hybride omgevingen
• En meer

Defender for Identity maakt ook gebruik van het Microsoft 365-beveiligingsportfolio om automatisch bedreigingsgegevens voor meerdere domeinen te analyseren, waarbij een volledig beeld wordt opgebouwd van elke aanval in één dashboard.

Belangrijk

Deze migratiehandleiding is alleen ontworpen voor Defender for Identity-sensoren en niet voor zelfstandige sensoren.

Hoewel u vanaf elke ATA-versie naar Defender for Identity kunt migreren, worden uw ATA-gegevens niet gemigreerd. Daarom raden we u aan om uw ATA-datacentrum en eventuele waarschuwingen die nodig zijn voor doorlopende onderzoeken te behouden totdat alle ATA-waarschuwingen worden gesloten of hersteld.

Notitie

De definitieve release van ATA is algemeen beschikbaar. ATA beëindigde basisondersteuning op 12 januari 2021. Uitgebreide ondersteuning wordt voortgezet tot januari 2026. Lees onze blog voor meer informatie.

Vereisten

Als u wilt migreren van ATA naar Defender for Identity, moet u een omgeving en domeincontrollers hebben die voldoen aan de vereisten voor Defender for Identity-sensor. Zie Microsoft Defender for Identity-vereisten voor meer informatie.

Zorg ervoor dat alle domeincontrollers die u wilt gebruiken voldoende internettoegang hebben tot de Defender for Identity-service. Zie Instellingen voor eindpuntproxy en internetverbinding configureren voor meer informatie.

Uw migratie plannen

Voordat u de migratie start, moet u alle volgende informatie verzamelen:

• Accountgegevens voor uw Directory Services-account.

• Instellingen voor Syslog-meldingen.

• Details van e-mailmeldingen.

• Alle ATA-rolgroepslidmaatschappen.

• Details van VPN-integratie.

• Waarschuwingsuitsluitingen. Uitsluitingen zijn niet overdraagbaar van ATA naar Defender for Identity, dus details van elke uitsluiting zijn vereist om de uitsluitingen te repliceren als Defender for Identity in Microsoft Defender XDR.

• Accountgegevens voor entiteitstags. Als u nog geen toegewezen entiteitstags hebt, maakt u nieuwe tags voor gebruik met Defender for Identity. Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

• Een volledige lijst met alle entiteiten, zoals computers, groepen of gebruikers, die u handmatig als gevoelige entiteiten wilt taggen. Zie Defender for Identity-entiteitstags in Microsoft Defender XDR voor meer informatie.

• Rapportplanningsgegevens, inclusief een lijst met alle rapporten en geplande timing.

Let op

Verwijder het ATA Center pas nadat alle ATA Gateways zijn verwijderd. Als u het ATA Center verwijdert met ATA Gateways, blijft uw organisatie zichtbaar zonder bedreigingsbeveiliging.

Overstappen op Defender for Identity

Gebruik de volgende stappen om te migreren naar Defender for Identity:

1. Maak uw nieuwe Defender for Identity-werkruimte.

2. Verwijder de ATA Lightweight-gateway op alle domeincontrollers.

3. Installeer de Defender for Identity Sensor op alle domeincontrollers:

   1. Download de Defender for Identity-sensorbestanden en haal de toegangssleutel op.

   2. Installeer Defender for Identity-sensoren op uw domeincontrollers.

4. Configureer de Defender for Identity-sensor.

Nadat de migratie is voltooid, kunt u twee uur toestaan voordat de eerste synchronisatie is voltooid voordat u verdergaat met validatietaken.

Uw migratie valideren

Controleer in Microsoft Defender XDR de volgende gebieden om uw migratie te valideren:

• Bekijk eventuele statusproblemen voor problemen met de service.
• Bekijk de defender for Identity-sensorfoutlogboeken voor ongebruikelijke fouten.

Activiteiten na migratie

Nadat u de migratie naar Defender for Identity hebt voltooid, gaat u als volgt te werk om uw verouderde ATA-resources op te schonen:

1. Zorg ervoor dat u alle bestaande ATA-waarschuwingen hebt vastgelegd of hersteld. Bestaande ATA-beveiligingswaarschuwingen worden met de migratie niet geïmporteerd in Defender for Identity.

2. Voer een of beide van de volgende handelingen uit:

   • Het ATA Center buiten gebruik stellen. We raden u aan ATA-gegevens gedurende een bepaalde periode online te houden.
   • Maak een back-up van Mongo DB als u de ATA-gegevens voor onbepaalde tijd wilt bewaren. Zie Back-ups maken van de ATA-database voor meer informatie.

Gerelateerde informatie

Na de migratie naar Defender for Identity vindt u meer informatie over het onderzoeken van waarschuwingen in Microsoft Defender XDR. Zie voor meer informatie:

• Beveiligingswaarschuwingen begrijpen
• Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR