Advanced Threat Analytics (ATA) pour Microsoft Defender pour Identity
Cet article explique comment migrer d’une installation ATA existante vers un capteur Microsoft Defender pour Identity, et inclut les étapes suivantes :
- Passer en revue et confirmer les prérequis du service Defender pour Identity
- Documenter votre configuration ATA existante
- Planifier la migration
- Configurer et configurer votre service Defender pour Identity
- Effectuer des vérifications et des vérifications post-migration
- Désaffecter ATA
ATA est une solution locale autonome avec plusieurs composants, tels que le centre ATA, qui nécessite du matériel dédié local.
Defender pour Identity est une solution de sécurité basée sur le cloud qui utilise vos signaux Active Directory local. La solution est hautement évolutive et est fréquemment mise à jour.
Contrairement au capteur ATA, le capteur Defender pour Identity utilise également des sources de données telles que le suivi d’événements pour Windows (ETW), ce qui permet à Defender pour Identity de fournir des détections supplémentaires. Defender pour Identity fournit également :
- Prise en charge des environnements multi-forêts
- Évaluations de la posture du degré de sécurité Microsoft
- Fonctionnalités UEBA
- Les intégrations directes à d’autres services tels que Microsoft Defender for Cloud Apps et Microsoft Entra pour une vue hybride de ce qui se passe dans les environnements locaux et hybrides
- Et bien plus encore
Defender pour Identity utilise également le portefeuille de sécurité Microsoft 365 pour analyser automatiquement les données sur les menaces inter-domaines, en créant une image complète de chaque attaque dans un tableau de bord unique.
Importante
Ce guide de migration est conçu uniquement pour les capteurs Defender pour Identity, et non pour les capteurs autonomes.
Bien que vous puissiez migrer vers Defender pour Identity à partir de n’importe quelle version d’ATA, vos données ATA ne sont pas migrées. Par conséquent, nous vous recommandons de prévoir de conserver votre centre de données ATA et toutes les alertes requises pour les investigations en cours jusqu’à ce que toutes les alertes ATA soient fermées ou corrigées.
Remarque
La version finale d’ATA est en disponibilité générale. ATA a mis fin au support standard le 12 janvier 2021. Le support étendu se poursuivra jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.
Configuration requise
Pour migrer d’ATA vers Defender pour Identity, vous devez disposer d’un environnement et de contrôleurs de domaine qui répondent aux exigences du capteur Defender pour Identity. Pour plus d’informations, consultez Microsoft Defender pour Identity prérequis.
Assurez-vous que tous les contrôleurs de domaine que vous envisagez d’utiliser disposent d’un accès Internet suffisant au service Defender pour Identity. Pour plus d’informations, consultez Configurer les paramètres de proxy de point de terminaison et de connectivité Internet.
Planifier la migration
Avant de commencer la migration, rassemblez toutes les informations suivantes :
Détails du compte de votre compte Services d’annuaire.
Paramètres de notification Syslog.
Toutes les appartenances au groupe de rôles ATA.
Exclusions d’alerte. Les exclusions ne sont pas transférables d’ATA à Defender pour Identity. Les détails de chaque exclusion sont donc nécessaires pour répliquer les exclusions en tant que Defender pour Identity dans Microsoft Defender XDR.
Détails du compte pour les balises d’entité. Si vous n’avez pas encore de balises d’entité dédiées, créez-en de nouvelles à utiliser avec Defender pour Identity. Pour plus d’informations, consultez Balises d’entité Defender pour Identity dans Microsoft Defender XDR.
Liste complète de toutes les entités, telles que les ordinateurs, les groupes ou les utilisateurs, que vous souhaitez marquer manuellement comme entités sensibles. Pour plus d’informations, consultez Balises d’entité Defender pour Identity dans Microsoft Defender XDR.
Détails de la planification des rapports, y compris la liste de tous les rapports et le minutage planifié.
Attention
Ne désinstallez pas le centre ATA tant que toutes les passerelles ATA n’ont pas été supprimées. La désinstallation du centre ATA avec des passerelles ATA toujours en cours d’exécution laisse votre organization exposée sans protection contre les menaces.
Passer à Defender pour Identity
Procédez comme suit pour migrer vers Defender pour Identity :
Désinstallez la passerelle légère ATA sur tous les contrôleurs de domaine.
Installez le capteur Defender pour Identity sur tous les contrôleurs de domaine :
Une fois la migration terminée, prévoyez deux heures pour que la synchronisation initiale soit terminée avant de passer aux tâches de validation.
Valider votre migration
Dans Microsoft Defender XDR, case activée les zones suivantes pour valider votre migration :
- Passez en revue les problèmes d’intégrité pour connaître les signes de problèmes de service.
- Passez en revue les journaux d’erreurs du capteur Defender pour Identity pour détecter les erreurs inhabituelles.
Activités post-migration
Après avoir effectué votre migration vers Defender pour Identity, procédez comme suit pour propre vos ressources ATA héritées :
Vérifiez que vous avez enregistré ou corrigé toutes les alertes ATA existantes. Les alertes de sécurité ATA existantes ne sont pas importées dans Defender pour Identity avec la migration.
Exécutez l’une des procédures suivantes ou les deux :
- Désaffectez le centre ATA. Nous vous recommandons de conserver les données ATA en ligne pendant un certain temps.
- Sauvegardez Mongo DB si vous souhaitez conserver les données ATA indéfiniment. Pour plus d’informations, consultez Sauvegarde de la base de données ATA.
Informations connexes
Après la migration vers Defender pour Identity, en savoir plus sur l’examen des alertes dans Microsoft Defender XDR. Pour plus d’informations, reportez-vous aux rubriques suivantes :