ATA (Análise Avançada de Ameaças) para o Microsoft Defender para Identidade
Este artigo descreve como migrar de uma instalação existente da ATA para um sensor do Microsoft Defender para Identidade e inclui as seguintes etapas:
- Revisar e confirmar os pré-requisitos do serviço do Defender para Identidade
- Documentar sua configuração existente da ATA
- Planeje sua migração
- Instalar e configurar o serviço do Defender para Identidade
- Executar verificações e avaliações pós-migração
- Desativar a ATA
A ATA é uma solução local autônoma com vários componentes, como o ATA Center, que requer hardware dedicado local.
O Defender para Identidade é uma solução de segurança baseada em nuvem que usa seus sinais do Active Directory local. A solução é altamente escalonável e é atualizada com frequência.
Em contraste com o sensor da ATA, o sensor do Defender para Identidade também usa fontes de dados como o ETW (Rastreamento de Eventos para Windows), que permite ao Defender para Identidade fornecer detecções extras. O Defender para Identidade também oferece:
- Suporte para ambientes de várias florestas
- Avaliações de postura do Microsoft Secure Score
- Funcionalidades de UEBA
- Integrações diretas com outros serviços, como o Microsoft Defender para Aplicativos de Nuvem e o Microsoft Entra, para uma visão híbrida do que está ocorrendo em ambientes locais e híbridos
- E mais
O Defender para Identidade também usa o portfólio de segurança do Microsoft 365 para analisar automaticamente dados de ameaças entre domínios, criando uma imagem completa de cada ataque em um único painel.
Importante
Este guia de migração foi projetado apenas para sensores do Defender para Identidade, e não para sensores autônomos.
Embora você possa migrar para o Defender para Identidade de qualquer versão da ATA, seus dados da ATA não são migrados. Portanto, recomendamos que você planeje manter seu Data Center da ATA e os alertas necessários para investigações em andamento até que todos os alertas da ATA sejam fechados ou corrigidos.
Observação
A versão final da ATA está disponível para o público em geral. A ATA encerrou o suporte base em 12 de janeiro de 2021. O suporte estendido continuará até janeiro de 2026. Para obter mais informações, leia nosso blog.
Pré-requisitos
Para migrar da ATA para o Defender para Identidade você deve ter um ambiente e controladores de domínio que atendam aos requisitos do sensor do Defender para Identidade. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender para Identidade.
Certifique-se de que todos os controladores de domínio que você planeja usar tenham acesso suficiente à Internet para o serviço do Defender para Identidade. Para obter mais informações, consulte Definir proxy de ponto de extremidade e configurações de conectividade com a Internet.
Planeje sua migração
Antes de iniciar a migração, reúna todas as seguintes informações:
Detalhes da conta de Serviços de Diretório.
Configurações de notificação syslog.
Detalhes da notificação por email.
Todas as associações de grupo de funções da ATA.
Exclusões de alertas. As exclusões não são transferíveis da ATA para o Defender para Identidade, portanto, os detalhes de cada exclusão são necessários para replicar as exclusões como Defender para Identidade no Microsoft Defender XDR.
Detalhes da conta para marcas de entidade. Se você ainda não tiver marcas de entidade dedicadas, crie novas marcas para usar com o Defender para Identidade. Para obter mais informações, confira Marcas da entidade do Defender para identidade no Microsoft Defender XDR.
Uma lista completa de todas as entidades, como computadores, grupos ou usuários, que você deseja marcar manualmente como entidades Confidenciais. Para obter mais informações, confira Marcas da entidade do Defender para identidade no Microsoft Defender XDR.
Detalhes de agendamento de relatórios, incluindo uma lista de todos os relatórios e horários agendados.
Cuidado
Não desinstale o ATA Center até que todos os ATA Gateways sejam removidos. A desinstalação do ATA Center com ATA Gateways ainda em execução deixa sua organização exposta e sem proteção contra ameaças.
Migrar para o Defender para Identidade
Use as seguintes etapas para migrar para o Defender para Identidade:
Crie seu novo espaço de trabalho do Defender para Identidade.
Desinstale o ATA Lightweight Gateway em todos os controladores de domínio.
Instale o sensor do Defender para Identidade em todos os controladores de domínio:
Após a conclusão da migração, aguarde duas horas para que a sincronização inicial seja concluída antes de prosseguir com as tarefas de validação.
Validar a migração
No Microsoft Defender XDR, verifique as seguintes áreas para validar sua migração:
- Analise os problemas de integridade em busca de sinais de problemas no serviço.
- Revise os logs de erros do sensor do Defender para Identidade em busca de erros incomuns.
Atividades pós-migração
Depois de concluir a migração para o Defender para Identidade, faça o seguinte para limpar os recursos herdados da ATA:
Verifique se você gravou ou corrigiu todos os alertas da ATA existentes. Os alertas de segurança da ATA existentes não são importados para o Defender para Identidade com a migração.
Siga um ou ambos destes procedimentos:
- Desative o ATA Center. Recomendamos manter os dados da ATA online por um tempo.
- Faça backup do Mongo DB se quiser manter os dados da ATA indefinidamente. Para obter mais informações, confira Fazer o backup do banco de dados da ATA.
Informações relacionadas
Depois de migrar para o Defender para Identidade, saiba mais sobre como investigar alertas no Microsoft Defender XDR. Para saber mais, veja: