Kimlik için Microsoft Defender için Advanced Threat Analytics (ATA)

Not

ATA 'nın nihai sürümü genel kullanıma sunulmuştur. ATA, 12 Ocak 2021 ' de temel desteği sona acaktır. Genişletilmiş destek 2026 ' ye kadar devam edecektir. Daha fazla bilgi için blogumuzuokuyun.

mevcut bir ATA yüklemesinden (Kimlik için Microsoft Defender) hizmetine geçmek için bu kılavuzu kullanın. Kılavuzda kimlik önkoşulları ve gereksinimleri için Defender açıklanmakta ve taşıma planınızı nasıl planlayacağınız ve daha sonra tamamlanacak ayrıntılar verilmektedir. Yükleme işleminden sonra kimlik için Defender ile en son tehdit koruması ve güvenlik çözümlerinin avantajlarından faydalanmak için doğrulama adımları ve ipuçları.

ATA ile Defender arasındaki farklar hakkında daha fazla bilgi edinmek için bkz. kimlik hakkında sık sorulan sorular Için Defender.

Bu kılavuzda şunları yapmanız gerekir:

  • Kimlik hizmeti önkoşulları için Defender 'ı gözden geçirin ve onaylayın
  • Mevcut ATA yapılandırmanızı belgeleyin
  • Taşımanızı planlayın
  • Defender 'ı kimlik hizmeti için ayarlama ve yapılandırma
  • Taşıma sonrası denetimleri ve doğrulama gerçekleştirme
  • Taşımayı tamamladıktan sonra ATA 'nın yetkisini alma

Not

ATA 'dan ATA 'dan kimlik için Defender 'a taşıma işlemi herhangi bir ATA sürümünden mümkündür. Ancak, veriler ATA 'dan kimlik için Defender 'a taşınamadığından, tüm ATA uyarıları kapatılana veya düzeltilene kadar devam eden araştırmalar için ATA Center verilerinizi ve uyarılarını tutmanız önerilir.

Önkoşullar

  • kimlik örneği için bir Defender oluşturmak için en az bir genel/güvenlik yöneticisi olan bir Azure Active Directory kiracısı gerekir. her bir Defender for ıdentity örneği, Windows 2003 ve üzeri Active Directory orman sınırı ve orman işlev düzeyini (ffl) destekler.

  • Kimlik için Defender, .NET Framework 4,7 veya üzerini gerektirir ve geçerli .NET Framework sürümünüz 4,7 veya üzeri değilse bir etki alanı denetleyicisi (yeniden başlatma) gerektirebilir.

  • Etki alanı denetleyicilerinizin kimlik algılayıcısı gereksinimleri için tüm Defender 'ı karşıladığından emin olun ve ortamınız kimlik gereksinimleri Için tüm Defender 'ıkarşılayın.

  • Kullanmayı planladığınız tüm etki alanı denetleyicilerinin kimlik hizmeti için Defender 'a yeterli internet erişimi olduğunu doğrulayın. Kimlik proxy 'si yapılandırma gereksinimleri Için Defender 'ıkarşılayan etki alanı denetleyicilerinizi denetleyin ve onaylayın.

Not

Bu geçiş kılavuzu yalnızca kimlik algılayıcılar için Defender için tasarlanmıştır.

Planlama

Geçişinizi başlatmadan önce aşağıdaki bilgileri topladığınızdan emin olun:

  1. Dizin Hizmetleri hesabınız için hesap ayrıntıları.
  2. Syslog bildirim ayarları.
  3. E-posta bildirimi ayrıntıları.
  4. ATA rolleri grup üyeliği
  5. VPN tümleştirmesi
  6. Uyarı dışlamaları
  7. Honeytoken hesapları için hesap ayrıntıları.
    • Zaten adanmış honeytoken hesaplarınız yoksa, Defender 'daki honeytoken hakkında daha fazla bilgi edinin ve bu amaçla kullanılacak yeni hesaplar oluşturun.
  8. Gizli varlıklar olarak el ile etiketlemek istediğiniz tüm varlıkların (bilgisayarlar, gruplar, kullanıcılar) listesini doldurun.
  9. Rapor zamanlama ayrıntıları (raporların listesi ve zamanlanan zamanlama).

Not

Tüm ATA Gateway 'ler kaldırılana kadar ATA Center 'ı kaldırmayın. Ata Center 'ı ATA Gateway 'ler ile kaldırmak, hala çalışır durumda olsa hiçbir tehdit koruması olmadan kuruluşunuzu açık bırakır.

Taşı

İki kolay adımda, kimlik için Defender 'a geçişinizi doldurun:

1. Adım: kimlik örneği ve algılayıcılar için Defender oluşturma ve yüklemeyi

  1. Yeni bir Defender for Identity örneğiniz oluşturun

  2. ATA Lightweight Gateway 'i tüm etki alanı denetleyicilerinde kaldırın.

  3. Tüm etki alanı denetleyicilerine kimlik algılayıcısı için Defender 'ı yükler:

2. Adım: kimlik örneği için Defender 'ı yapılandırma ve doğrulama

Not

Aşağıdaki listede yer aldığı bazı görevler, kimlik algılayıcılar için Defender yüklenmeden ve ardından el ile hassas etiketleme için varlık seçme gibi bir ilk eşitleme tamamlanmadan önce tamamlanamaz. İlk eşitlemenin tamamlanması için 2 saate kadar izin verin.

Yapılandırma

Kimlik portalı için Defender 'da oturum açın ve aşağıdaki yapılandırma görevlerini doldurun.

Adım Eylem Durum
1 Bir etki alanı denetleyicisi seçiminde gecikmeli güncelleştirmeler ayarlama - [ ]
2 Dizin Hizmetleri hesabı ayrıntıları - [ ]
3 Syslog bildirimlerini yapılandırma - [ ]
4 VPN bilgilerini tümleştirme - [ ]
5 Wdadtp tümleştirmesini yapılandırma - [ ]
6 Honeytokens hesaplarını ayarla - [ ]
7 Gizli varlıkları etiketleme - [ ]
8 Güvenlik uyarısı dışlamaları oluştur - [ ]
9 E-posta bildirimi geçiş yapar - [ ]
10 Rapor ayarlarını zamanla (raporların listesi ve zamanlanan zamanlama) - [ ]
11 Rol tabanlı izinleri yapılandırma - [ ]
12 SıEM bildirim yapılandırması (IP adresi) - [ ]

Doğrulama

Kimlik portalı için Defender içinde:

Taşıma işleminden sonra

Kılavuzun bu bölümünde, taşıma işlemini tamamladıktan sonra gerçekleştirilebilecek eylemler açıklanmaktadır.

Not

Kimlik için mevcut güvenlik uyarılarını ATA 'dan Defender 'a içeri aktarma desteklenmiyor. ATA Center 'ı kullanımdan kaldırmadan önce tüm mevcut ATA uyarılarını kaydettiğinizden veya düzeltdiğinizden emin olun.

  • ATA Center'ın komutunun alımını geri alın

    • Taşıma sonrasında ATA Center verilerine başvuru yapmak için, merkezi verilerin bir süre çevrimiçi tutmanız önerilir. ATA Center'ın devre dışı bırakıldıktan sonra, özellikle de kaynaklar bir Sanal Makine ise kaynak sayısı genellikle azaltıcı olabilir.
  • Mongo DB'i geri alma

Görev başarıyla tamamlandı

Tebrikler! ATA'dan Kimlik için Defender'a taşıma işleminiz tamamlandı.

Sonraki adımlar

Kimlik için Defender özellikleri, işlevleri ve güvenlik uyarıları hakkında daha fazla bilgi.

Community

Daha fazla sorunuz mu var yoksa Kimlik için Defender ve diğerleriyle ilgili güvenlik konularını mı ele alasınız? Kimlik için Defender'a hemen Community katılın!