Advanced Threat Analytics (ATA) per Microsoft Defender per identità

Questo articolo descrive come eseguire la migrazione da un'installazione di ATA esistente a un sensore di Microsoft Defender per identità e include i passaggi seguenti:

  • Esaminare e confermare i prerequisiti del servizio Defender per identità
  • Documentare la configurazione ATA esistente
  • Pianificare la migrazione
  • Configurare e configurare il servizio Defender per identità
  • Eseguire controlli e verifiche post-migrazione
  • Rimuovere le autorizzazioni di ATA

ATA è una soluzione locale autonoma con più componenti, ad esempio ATA Center che richiede hardware dedicato in locale.

Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali Active Directory locale. La soluzione è altamente scalabile e viene aggiornata di frequente.

A differenza del sensore ATA, il sensore Defender per identità usa anche origini dati come Event Tracing for Windows (ETW) che consente a Defender per identità di fornire rilevamenti aggiuntivi. Defender per identità offre anche:

Defender per identità usa anche il portfolio di sicurezza di Microsoft 365 per analizzare automaticamente i dati sulle minacce tra domini, creando un quadro completo di ogni attacco in un singolo dashboard.

Importante

Questa guida alla migrazione è progettata solo per i sensori defender per identità e non per i sensori autonomi.

Sebbene sia possibile eseguire la migrazione a Defender per identità da qualsiasi versione di ATA, i dati ATA non vengono migrati. Pertanto, è consigliabile pianificare di conservare il data center ATA e gli avvisi necessari per le indagini in corso fino a quando tutti gli avvisi ATA non vengono chiusi o corretti.

Nota

La versione finale di ATA è disponibile a livello generale. ATA ha terminato il supporto Mainstream il 12 gennaio 2021. Il supporto esteso continuerà fino a gennaio 2026. Per altre informazioni, leggere il blog.

Prerequisiti

Per eseguire la migrazione da ATA a Defender per identità, è necessario disporre di un ambiente e di controller di dominio che soddisfano i requisiti del sensore defender per identità. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.

Assicurarsi che tutti i controller di dominio che si prevede di usare abbiano accesso Internet sufficiente al servizio Defender per identità. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.

Pianificare la migrazione

Prima di avviare la migrazione, raccogliere tutte le informazioni seguenti:

Attenzione

Non disinstallare ATA Center finché non vengono rimossi tutti i gateway ATA. La disinstallazione di ATA Center con i gateway ATA ancora in esecuzione lascia l'organizzazione esposta senza alcuna protezione dalle minacce.

Passare a Defender per identità

Seguire questa procedura per eseguire la migrazione a Defender per identità:

  1. Creare la nuova area di lavoro di Defender per identità.

  2. Disinstallare il gateway ATA Lightweight in tutti i controller di dominio.

  3. Installare il sensore defender per identità in tutti i controller di dominio:

    1. Scaricare i file del sensore defender per identità e recuperare la chiave di accesso.

    2. Installare i sensori di Defender per identità nei controller di dominio.

  4. Configurare il sensore defender per identità.

Al termine della migrazione, attendere due ore per il completamento della sincronizzazione iniziale prima di procedere con le attività di convalida.

Convalidare la migrazione

In Microsoft Defender XDR controllare le aree seguenti per convalidare la migrazione:

Attività successive alla migrazione

Dopo aver completato la migrazione a Defender per identità, eseguire le operazioni seguenti per pulire le risorse ATA legacy:

  1. Assicurarsi di aver registrato o risolto tutti gli avvisi ATA esistenti. Gli avvisi di sicurezza ATA esistenti non vengono importati in Defender per identità con la migrazione.

  2. Eseguire una o entrambe le operazioni seguenti:

    • Rimuovere le autorizzazioni di ATA Center. È consigliabile mantenere online i dati ATA per un periodo di tempo.
    • Eseguire il backup di Mongo DB se si vogliono mantenere i dati ATA per un periodo illimitato. Per altre informazioni, vedere Backup del database ATA.

Dopo la migrazione a Defender per identità, vedere Altre informazioni sull'analisi degli avvisi in Microsoft Defender XDR. Per altre informazioni, vedi: