Gelişmiş Tehdit Analizi'ne (ATA) Kimlik için Microsoft Defender
Bu makalede, var olan bir ATA yüklemesinden Kimlik için Microsoft Defender algılayıcısına nasıl geçiş yapılacağını açıklar ve aşağıdaki adımları içerir:
- Kimlik için Defender hizmeti önkoşullarını gözden geçirin ve onaylayın
- Mevcut ATA yapılandırmanızı belgeleyin
- Geçişinizi planlama
- Kimlik için Defender hizmetinizi ayarlama ve yapılandırma
- Geçiş sonrası denetimleri ve doğrulamaları gerçekleştirme
- ATA'nın yetkisini alma
ATA, şirket içinde ayrılmış donanım gerektiren ATA Center gibi birden çok bileşeni olan tek başına bir şirket içi çözümdür.
Kimlik için Defender, şirket içi Active Directory sinyallerinizi kullanan bulut tabanlı bir güvenlik çözümüdür. Çözüm yüksek oranda ölçeklenebilir ve sık sık güncelleştirilir.
ATA algılayıcısının aksine, Kimlik için Defender algılayıcısı ayrıca Windows için Olay İzleme (ETW) gibi veri kaynaklarını kullanarak Kimlik için Defender'ın ek algılamalar sunmasını sağlar. Kimlik için Defender şunları da sağlar:
- Çok ormanlı ortamlar için destek
- Microsoft Güvenli Puan duruşu değerlendirmeleri
- UEBA özellikleri
- Hem şirket içi hem de karma ortamlarda gerçekleşen işlemlerin karma görünümü için Microsoft Defender for Cloud Apps ve Microsoft Entra gibi diğer hizmetlerle doğrudan tümleştirmeler
- Ve daha fazlası
Kimlik için Defender, etki alanları arası tehdit verilerini otomatik olarak analiz etmek için Microsoft 365 güvenlik portföyünü de kullanır ve her saldırının tam resmini tek bir panoda oluşturur.
Önemli
Bu geçiş kılavuzu yalnızca Kimlik için Defender algılayıcıları için tasarlanmıştır ve tek başına algılayıcılar için tasarlanmamıştır.
Herhangi bir ATA sürümünden Kimlik için Defender'a geçiş yapabilirsiniz ancak ATA verileriniz geçirilmez. Bu nedenle, TÜM ATA uyarıları kapatılana veya düzeltilinceye kadar DEVAM eden araştırmalarda ATA Veri Merkezinizi ve gerekli uyarıları korumayı planlamanızı öneririz.
Not
ATA'nın son sürümü genel kullanıma sunulmuştur. ATA, Temel Desteği 12 Ocak 2021'de sona erdirdi. Genişletilmiş Destek Ocak 2026'ya kadar devam edecektir. Daha fazla bilgi için blogumuzu okuyun.
Önkoşullar
ATA'dan Kimlik için Defender'a geçiş yapmak için, Kimlik için Defender algılayıcı gereksinimlerini karşılayan bir ortamınız ve etki alanı denetleyicileriniz olmalıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.
Kullanmayı planladığınız tüm etki alanı denetleyicilerinin Kimlik için Defender hizmetine yeterli İnternet erişimine sahip olduğundan emin olun. Daha fazla bilgi için bkz . Uç nokta ara sunucusu ve İnternet bağlantısı ayarlarını yapılandırma.
Geçişinizi planlama
Geçişe başlamadan önce aşağıdaki bilgilerin tümünü toplayın:
Dizin Hizmetleri hesabınız için hesap ayrıntıları.
Syslog bildirim ayarları.
bildirim ayrıntılarını Email.
Uyarı dışlamaları. Dışlamalar ATA'dan Kimlik için Defender'a aktarılamaz, bu nedenle dışlamaların Microsoft Defender XDR Kimlik için Defender olarak çoğaltılması için her dışlamanın ayrıntıları gereklidir.
Varlık etiketleri için hesap ayrıntıları. Henüz ayrılmış varlık etiketleriniz yoksa, Kimlik için Defender ile kullanmak üzere yenilerini oluşturun. Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Defender varlık etiketleri.
El ile Hassas varlıklar olarak etiketlemek istediğiniz bilgisayarlar, gruplar veya kullanıcılar gibi tüm varlıkların tam listesi. Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Defender varlık etiketleri.
Tüm raporların ve zamanlanmış zamanlamanın listesi de dahil olmak üzere rapor zamanlama ayrıntıları.
Dikkat
Tüm ATA Gateway'ler kaldırılana kadar ATA Center'ı kaldırmayın. ATA Center'ı HALA çalışan ATA Gateway'ler ile kaldırmak, kuruluşunuzun tehdit koruması olmadan kullanıma açık olmasına neden olur.
Kimlik için Defender'a gitme
Kimlik için Defender'a geçiş yapmak için aşağıdaki adımları kullanın:
Ata Lightweight Gateway'i tüm etki alanı denetleyicilerinde kaldırın.
Kimlik için Defender Algılayıcısı'nı tüm etki alanı denetleyicilerine yükleyin:
Geçiş tamamlandıktan sonra, doğrulama görevlerine geçmeden önce ilk eşitlemenin tamamlanması için iki saat bekleyin.
Geçişinizi doğrulama
Microsoft Defender XDR'de, geçişinizi doğrulamak için aşağıdaki alanları denetleyin:
- Hizmet sorunlarının işaretleri için sistem durumu sorunlarını gözden geçirin.
- Olağan dışı hatalar için Kimlik algılayıcısı için Defender hata günlüklerini gözden geçirin.
Geçiş sonrası etkinlikler
Kimlik için Defender'a geçişinizi tamamladıktan sonra, eski ATA kaynaklarınızı temizlemek için aşağıdakileri yapın:
Var olan tüm ATA uyarılarını kaydettiğinizden veya düzeltdiğinizden emin olun. Mevcut ATA güvenlik uyarıları, geçişle kimlik için Defender'a aktarılamaz.
Aşağıdakilerden birini veya ikisini birden yapın:
- ATA Center'ın yetkisini alma. ATA verilerini bir süre çevrimiçi tutmanızı öneririz.
- ATA verilerini süresiz olarak tutmak istiyorsanız Mongo DB'yi yedekleyin. Daha fazla bilgi için bkz. ATA veritabanını yedekleme.
İlgili bilgiler
Kimlik için Defender'a geçtikten sonra Microsoft Defender XDR'da uyarıları araştırma hakkında daha fazla bilgi edinin. Daha fazla bilgi için bkz.: