Расширенная аналитика угроз (ATA) для Microsoft Defender для удостоверений

В этой статье описывается, как перенести существующую установку ATA на датчик Microsoft Defender для удостоверений и выполнить следующие действия.

• Проверка и подтверждение предварительных требований к службе удостоверений Defender для удостоверений
• Документируйте существующую конфигурацию ATA
• Планирование миграции
• Настройка и настройка службы Defender для удостоверений
• Выполнение проверка и проверок после миграции
• Вывод ATA

ATA — это автономное локальное решение с несколькими компонентами, такими как центр ATA, который требует выделенного оборудования локальной среды.

Defender для удостоверений — это облачное решение для обеспечения безопасности, использующее сигналы локальная служба Active Directory. Решение является высокомасштабируемым и часто обновляется.

В отличие от датчика ATA, датчик Defender для удостоверений также использует такие источники данных, как трассировка событий для Windows (ETW), что позволяет Defender для идентификации предоставлять дополнительные обнаружения. Defender для удостоверений также предоставляет:

• Поддержка сред с несколькими лесами
• Оценки оценки оценки безопасности Майкрософт
• Возможности UEBA
• Прямая интеграция с другими службами, такими как Microsoft Defender для облака Apps и Microsoft Entra, для гибридного представления о том, что происходит как в локальных, так и гибридных средах
• И многое другое

Defender для удостоверений также использует портфель безопасности Microsoft 365 для автоматического анализа данных о угрозах между доменами, создавая полную картину каждой атаки на одной панели мониторинга.

Внимание

Это руководство по миграции предназначено только для датчиков Defender для удостоверений, а не для автономных датчиков.

Хотя вы можете перейти в Defender для удостоверений из любой версии ATA, данные ATA не переносятся. Поэтому рекомендуется сохранить центр обработки данных ATA и все оповещения, необходимые для текущих расследований, пока не будут закрыты или исправлены все оповещения ATA.

Примечание.

Окончательный выпуск ATA общедоступен. ATA завершила основную поддержку 12 января 2021 года. Расширенная поддержка будет продолжаться до января 2026 года. Дополнительные сведения см . в нашем блоге.

Необходимые компоненты

Чтобы перейти из ATA в Defender для удостоверений, необходимо иметь среду и контроллеры домена, соответствующие требованиям defender для датчика удостоверений. Дополнительные сведения см. в Microsoft Defender для удостоверений предварительных требований.

Убедитесь, что все контроллеры домена, которые вы планируете использовать, имеют достаточный доступ к Интернету к службе Defender для удостоверений. Дополнительные сведения см. в разделе "Настройка параметров прокси-сервера конечной точки и подключения к Интернету".

Планирование миграции

Перед началом миграции соберите все следующие сведения:

• Сведения об учетной записи служб каталогов.

• Параметры уведомлений системного журнала.

• Сведения о уведомлении по электронной почте.

• Все членства в группах ролей ATA.

• Сведения об интеграции VPN.

• Исключения оповещений. Исключения недоступны для передачи из ATA в Defender для удостоверений, поэтому сведения о каждом исключении необходимы для реплика заполнения исключений в качестве Defender для удостоверений в XDR в Microsoft Defender.

• Сведения об учетной записи для тегов сущностей. Если у вас еще нет тегов выделенных сущностей, создайте новые для использования с Defender для удостоверений. Дополнительные сведения см. в разделе "Теги сущностей Defender для удостоверений" в XDR в Microsoft Defender.

• Полный список всех сущностей, таких как компьютеры, группы или пользователи, которые необходимо вручную пометить как конфиденциальные сущности. Дополнительные сведения см. в разделе "Теги сущностей Defender для удостоверений" в XDR в Microsoft Defender.

• Сведения о планировании отчета, включая список всех отчетов и запланированное время.

Внимание

Не удаляйте центр ATA, пока не будут удалены все шлюзы ATA. Удаление центра ATA с помощью шлюзов ATA по-прежнему выполняется в вашей организации без защиты от угроз.

Переход в Defender для удостоверений

Выполните следующие действия для миграции в Defender для удостоверений:

1. Создайте новую рабочую область Defender для удостоверений.

2. Удалите упрощенный шлюз ATA на всех контроллерах домена.

3. Установите датчик Defender для удостоверений на всех контроллерах домена:

   1. Скачайте файлы датчика Defender для удостоверений и получите ключ доступа.

   2. Установите датчики Defender для удостоверений на контроллерах домена.

4. Настройте датчик Defender для удостоверений.

После завершения миграции разрешите два часа начальной синхронизации, прежде чем переходить к задачам проверки.

Проверка миграции

В XDR в Microsoft Defender проверка следующие области для проверки миграции:

• Просмотрите все проблемы со работоспособностью для признаков проблем со службой.
• Просмотрите журналы ошибок датчика удостоверений Defender для удостоверений для любых необычных ошибок.

Действия после миграции

После завершения миграции в Defender для удостоверений выполните следующие действия, чтобы очистить устаревшие ресурсы ATA:

1. Убедитесь, что вы записали или исправили все существующие оповещения ATA. Существующие оповещения системы безопасности ATA не импортируются в Defender для удостоверений с миграцией.

2. Выполните одно из следующих действий (или оба).

   • Отмена эксплуатации центра ATA. Мы рекомендуем хранить данные ATA в сети в течение определенного периода времени.
   • Резервное копирование Mongo DB , если вы хотите сохранить данные ATA на неопределенный срок. Дополнительные сведения см. в статье "Резервное копирование базы данных ATA".

Дополнительные сведения

После миграции в Defender для удостоверений узнайте больше об изучении оповещений в XDR в Microsoft Defender. Дополнительные сведения см. в разделе:

• Общие сведения о оповещениях системы безопасности
• Изучение оповещений defender для безопасности удостоверений в XDR в Microsoft Defender