進階威脅分析（ATA）適用於身分識別的 Microsoft Defender

本文說明如何從現有的 ATA 安裝移轉至適用於身分識別的 Microsoft Defender 感測器，並包含下列步驟：

ATA 是具有多個元件的獨立內部部署解決方案，例如需要內部部署專用硬體的 ATA 中心。

適用於身分識別的Defender是使用內部部署的 Active Directory訊號的雲端式安全性解決方案。此解決方案可高度擴充且經常更新。

相較於 ATA 感測器，適用於身分識別的 Defender 感測器也會使用數據源，例如 Windows 事件追蹤（ETW），讓適用於身分識別的 Defender 提供額外的偵測。適用於身分識別的Defender也提供：

支援多樹系環境
Microsoft 安全分數狀態評定
UEBA 功能
直接整合其他服務，例如適用於雲端的 Microsoft Defender Apps 和 Microsoft Entra，以取得內部部署和混合式環境中所發生專案的混合式檢視
還有更多

適用於身分識別的 Defender 也會使用 Microsoft 365 安全性組合來自動分析跨網域威脅數據，並在單一儀錶板中建置每個攻擊的完整畫面。

重要

此移轉指南專為適用於身分識別的Defender感測器所設計，而非獨立感測器。

雖然您可以從任何 ATA 版本移轉至適用於身分識別的 Defender，但 ATA 資料不會移轉。因此，我們建議您計劃保留 ATA 資料中心和進行中調查所需的任何警示，直到所有 ATA 警示都關閉或補救為止。

注意

ATA 的最終版本已正式推出。 ATA 於 2021 年 1 月 12 日終止了主流支援。外延支援將持續到 2026 年 1 月。如需詳細資訊，請閱讀我們的部落格。

必要條件

若要從 ATA 移轉至適用於身分識別的 Defender，您必須有符合適用於身分識別的 Defender 感測器需求的環境和域控制器。如需詳細資訊，請參閱適用於身分識別的 Microsoft Defender 必要條件。

請確定您打算使用的所有域控制器都有足夠的因特網存取適用於身分識別的 Defender 服務。如需詳細資訊，請參閱設定端點 Proxy 和因特網聯機設定。

開始移轉之前，請先收集下列所有資訊：

目錄服務帳戶的帳戶詳細數據。
Syslog 通知設定。
電子郵件通知詳細數據。
所有 ATA 角色群組成員資格。
VPN 整合詳細數據。
警示排除專案。排除項目無法從 ATA 傳輸到適用於身分識別的 Defender，因此需要每個排除專案的詳細數據，才能將排除專案復寫為 Microsoft Defender 全面偵測回應中的適用於身分識別的 Defender。
實體標記的帳戶詳細數據。如果您還沒有專用的實體標籤，請建立新的標籤以搭配適用於身分識別的Defender使用。如需詳細資訊，請參閱適用於身分識別的Defender實體標籤 Microsoft Defender 全面偵測回應。
您想要手動標記為 敏感性 實體的所有實體，例如計算機、群組或使用者的完整清單。如需詳細資訊，請參閱適用於身分識別的Defender實體標籤 Microsoft Defender 全面偵測回應。
報表排程詳細數據，包括所有報表和排程時間的清單。

警告

在移除所有 ATA 閘道之前，請勿卸載 ATA 中心。使用 ATA 閘道卸載 ATA 中心仍在執行中，您的組織不會受到威脅防護。

使用下列步驟移轉至適用於身分識別的Defender：

建立新的適用於身分識別的Defender工作區。
將所有域控制器上的 ATA 輕量型閘道卸載。
在所有域控制器上安裝適用於身分識別的 Defender 感測器：
1. 下載適用於身分識別的 Defender 感測器檔案，並擷取存取密鑰。
2. 在您的域控制器上安裝適用於身分識別的Defender感測器。
設定適用於身分識別的Defender感測器。

移轉完成後，允許完成初始同步處理兩小時，再繼續進行驗證工作。

在 Microsoft Defender 全面偵測回應中，檢查下列區域來驗證您的移轉：

完成移轉至適用於身分識別的 Defender 之後，請執行下列動作來清除舊版 ATA 資源：

請確定您已記錄或補救所有現有的 ATA 警示。現有的 ATA 安全性警示不會透過移轉匯入適用於身分識別的 Defender。
執行下列其中一項或兩項作業：
- 解除委任 ATA 中心。我們建議將 ATA 數據保持在在線一段時間。
- 如果您想要無限期地保留 ATA 數據，請備份 Mongo DB 。如需詳細資訊，請參閱備份 ATA 資料庫。

移轉至適用於身分識別的Defender之後，請深入瞭解在 Microsoft Defender 全面偵測回應中調查警示。如需詳細資訊，請參閱