Příprava na vyřazení agenta Log Analytics
Agent Log Analytics, označovaný také jako Microsoft Monitoring Agent (MMA), se v srpnu 2024 vyřazuje z provozu. V důsledku toho se aktualizuje program Defender for Servers a Defender for SQL na plánech počítačů v programu Microsoft Defender for Cloud a funkce, které spoléhají na agenta Log Analytics, se přepracují.
Tento článek shrnuje plány pro vyřazení agenta.
Příprava defenderu pro servery
Plán Defenderu pro servery používá agenta Log Analytics v obecné dostupnosti (GA) a v AMA pro některé funkce (ve verzi Preview). Tady je postup, co se děje s těmito funkcemi:
Pro zjednodušení onboardingu budou všechny funkce zabezpečení a možnosti Defenderu pro servery poskytovány s jedním agentem (Microsoft Defender for Endpoint), doplněné kontrolou počítačů bez agentů bez jakékoli závislosti na agentovi Log Analytics nebo AMA. Všimněte si, že:
- Funkce Defenderu pro servery, které jsou založené na AMA, jsou aktuálně ve verzi Preview a nebudou vydány ve verzi GA.
- Funkce ve verzi Preview, které spoléhají na AMA, zůstanou podporované, dokud nebude k dispozici alternativní verze funkce, která bude spoléhat na integraci Defenderu pro koncové body nebo funkci kontroly počítačů bez agentů.
- Povolením integrace Defenderu pro koncové body a funkce kontroly počítačů bez agentů před ukončením bude vaše nasazení Defenderu pro servery aktuální a podporované.
Funkce funkcí
Následující tabulka shrnuje, jak se budou poskytovat funkce Defenderu pro servery. Většina funkcí je už obecně dostupná pomocí nástroje Defender pro integraci koncového bodu nebo kontroly počítačů bez agentů. Zbývající funkce budou dostupné ve verzi GA v době vyřazení MMA nebo budou zastaralé.
| Funkce | Aktuální podpora | Nová podpora | Nový stav prostředí |
|---|---|---|---|
| Integrace Defenderu pro koncové body pro počítače s Windows nižší úrovně (Windows Server 2016/2012 R2) | Starší verze senzoru Defenderu pro koncový bod na základě agenta Log Analytics | Integrace sjednoceného agenta | – Funkce s jednotným agentem je ga. – Funkce se starší verzí senzoru Defenderu pro koncový bod pomocí agenta Log Analytics se v srpnu 2024 přestanou používat. |
| Detekce hrozeb na úrovni operačního systému | Agent Log Analytics | Integrace agenta Defenderu pro koncový bod | Funkce s agentem Defender for Endpoint je obecná dostupnost. |
| Adaptivní řízení aplikací | Agent Log Analytics (GA), AMA (Preview) | --- | V srpnu 2024 je funkce adaptivního řízení aplikací zastaralá. |
| Doporučení ke zjišťování služby Endpoint Protection | Doporučení, která jsou k dispozici prostřednictvím plánu základní správy stavu cloudového zabezpečení (CSPM) a defenderu pro servery s využitím agenta Log Analytics (GA), AMA (Preview) | Kontrola počítačů bez agentů | – Funkce s kontrolou počítačů bez agentů budou vydány ve verzi Preview v únoru 2024 jako součást programu Defender for Servers Plan 2 a plánu CSPM v programu Defender. – Virtuální počítače Azure, instance GCP (Google Cloud Platform) a instance Amazon Web Services (AWS) budou podporovány. Místní počítače nebudou podporovány. |
| Chybějící doporučení k aktualizaci operačního systému | Doporučení dostupná v plánech Základní csPM a Defender for Servers s využitím agenta Log Analytics | Integrace s Update Managerem, Microsoftem | Nová doporučení založená na integraci Azure Update Manageru jsou obecná dostupnost bez závislostí agentů. |
| Chybné konfigurace operačního systému (Srovnávací test Zabezpečení cloudu Microsoftu) | Doporučení, která jsou k dispozici prostřednictvím plánů Foundational CSPM a Defender for Servers pomocí agenta Log Analytics, agenta konfigurace hosta (Preview). | Microsoft Defender Správa zranitelností Premium jako součást programu Defender for Servers Plan 2. | – Funkce založené na integraci s Microsoft Defender Správa zranitelností Premium budou k dispozici ve verzi Preview přibližně v dubnu 2024. – Funkce s agentem Log Analytics se v srpnu 2024 přestanou používat – Funkce s agentem konfigurace hosta (Preview) se po dostupnosti Microsoft Defender Správa zranitelností přestanou používat. – Podpora této funkce pro Docker-hub a Azure Virtual Machine Scale Sets budou v Aug 2024 zastaralá. |
| Monitorování integrity souborů | Agent Log Analytics, AMA (Preview) | Integrace agenta Defenderu pro koncový bod | Funkce s agentem Defender for Endpoint bude k dispozici přibližně v dubnu 2024. – Funkce s agentem Log Analytics se v srpnu 2024 přestanou používat. – Funkce s AMA přestane být po vydání integrace Defenderu pro koncový bod zastaralá. |
Výhoda 500 MB pro příjem dat přes definované tabulky zůstává podporována prostřednictvím agenta AMA pro počítače v rámci předplatných, na která se vztahuje Defender for Servers Plan 2. Každý počítač má nárok na výhodu jenom jednou, i když je na něm nainstalovaný agent Log Analytics i agent Azure Monitor. Přečtěte si další informace o tom , jak nasadit AMA.
U SQL serverů na počítačích doporučujeme migrovat na proces automatického zřizování agenta AMA (Azure Monitoring Agent) cílený na SQL server.
Prostředí doporučení pro ochranu koncových bodů – pokyny ke změnám a migraci
Zjišťování koncových bodů a doporučení v současné době poskytuje Defender for Cloud Foundational CSPM a Defender for Servers plány pomocí agenta Log Analytics v ga nebo ve verzi Preview prostřednictvím AMA. Toto prostředí se nahradí doporučeními zabezpečení, která se shromažďují pomocí kontroly počítačů bez agentů.
Doporučení ochrany koncových bodů se vytvářejí ve dvou fázích. První fází je zjišťování detekce a reakce u koncových bodů řešení. Druhým je posouzení konfigurace řešení. Následující tabulky obsahují podrobnosti o aktuálním a novém prostředí pro každou fázi.
Zjistěte, jak spravovat nová doporučení detekce a reakce u koncových bodů (bez agentů).
Řešení detekce a odezvy koncových bodů – zjišťování
| Plocha | Aktuální zkušenosti (založené na AMA/MMA) | Nové prostředí (na základě kontroly počítačů bez agentů) |
|---|---|---|
| Co je potřeba ke klasifikaci prostředku jako v pořádku? | Antivir je na místě. | Řešení detekce a reakce u koncových bodů je na místě. |
| Co je potřeba k získání doporučení? | Agent Log Analytics | Kontrola počítačů bez agentů |
| Jaké plány jsou podporované? | - Základní CSPM (zdarma) – Defender for Servers Plan 1 a Plan 2 |
– Defender CSPM – Defender for Servers Plan 2 |
| Jaká oprava je k dispozici? | Nainstalujte antimalwarový software společnosti Microsoft. | Nainstalujte Defender pro koncový bod na vybrané počítače nebo předplatná. |
Řešení detekce koncových bodů a reakce – posouzení konfigurace
| Plocha | Aktuální zkušenosti (založené na AMA/MMA) | Nové prostředí (na základě kontroly počítačů bez agentů) |
|---|---|---|
| Prostředky jsou klasifikovány jako špatné, pokud jedna nebo více kontrol zabezpečení není v pořádku. | Tři kontroly zabezpečení: - Ochrana v reálném čase je vypnutá - Podpisy jsou zastaralé. – Rychlá kontrola i úplná kontrola se nespustí sedm dní. |
Tři kontroly zabezpečení: - Antivir je vypnutý nebo částečně nakonfigurovaný - Podpisy jsou zastaralé – Rychlá kontrola i úplná kontrola se nespustí sedm dní. |
| Požadavky na získání doporučení | Zavedené antimalwarové řešení | Detekce a reakce u koncových bodů řešení. |
Která doporučení jsou zastaralá?
Následující tabulka shrnuje harmonogram doporučení, která jsou zastaralá a nahrazena.
| Doporučení | Agent | Podporované prostředky | Datum konce podpory | Doporučení pro nahrazení |
|---|---|---|---|---|
| Na vaše počítače (veřejné) by se měla nainstalovat ochrana koncových bodů. | MMA/AMA | Azure a jiné než Azure (Windows a Linux) | Březen 2024 | Nové doporučení bez agentů |
| Na vašich počítačích (veřejné) by se měly vyřešit problémy se stavem služby Endpoint Protection. | MMA/AMA | Azure (Windows) | Březen 2024 | Nové doporučení bez agentů |
| Měly by se vyřešit selhání stavu služby Endpoint Protection ve škálovacích sadách virtuálních počítačů. | MMA | Škálovací sady virtuálních počítačů Azure | Srpen 2024 | Žádné nahrazení |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | MMA | Škálovací sady virtuálních počítačů Azure | Srpen 2024 | Žádné nahrazení |
| Řešení ochrany koncových bodů by mělo být na počítačích. | MMA | Prostředky mimo Azure (Windows) | Srpen 2024 | Žádné nahrazení |
| Instalace řešení endpoint Protection na vaše počítače | MMA | Azure a jiné než Azure (Windows) | Srpen 2024 | Nové doporučení bez agentů |
| Měly by se vyřešit problémy se stavem služby Endpoint Protection na počítačích. | MMA | Azure a jiné než Azure (Windows a Linux) | Srpen 2024 | Nové doporučení bez agentů |
Nové prostředí doporučení založené na kontrole počítačů bez agentů podporuje operační systém Windows i Linux napříč počítači s více cloudy.
Jak bude výměna fungovat?
- Aktuální doporučení poskytovaná agentem Log Analytics nebo AMA se v průběhu času přestanou používat.
- Některá z těchto existujících doporučení budou nahrazena novými doporučeními založenými na kontrole počítačů bez agentů.
- Doporučení, která jsou aktuálně ve verzi GA, zůstávají na místě, dokud se agent Log Analytics nevyřadí.
- Doporučení, která jsou aktuálně ve verzi Preview, se nahradí, když je nové doporučení dostupné ve verzi Preview.
Co se děje se zabezpečeným skóre?
- Doporučení, která jsou aktuálně v ga, budou mít nadále vliv na skóre zabezpečení.
- Aktuální a nadcházející nová doporučení se nacházejí ve stejném kontrolním prvku srovnávacího testu Microsoft Cloud Security, aby nedošlo k žádnému duplicitnímu dopadu na skóre zabezpečení.
Návody připravit se na nová doporučení?
- Ujistěte se, že je kontrola počítačů bez agentů povolená jako součást programu Defender for Servers Plan 2 nebo Defender CSPM.
- Pokud je vhodné pro vaše prostředí, pro nejlepší prostředí doporučujeme odebrat zastaralá doporučení, jakmile bude k dispozici náhradní doporučení ga. Pokud to chcete udělat, zakažte doporučení v integrované iniciativě Defender for Cloud ve službě Azure Policy.
Prostředí pro monitorování integrity souborů – pokyny k změnám a migraci
Microsoft Defender for Servers Plan 2 teď nabízí nové řešení pro monitorování integrity souborů (FIM) využívající integraci Microsoft Defenderu for Endpoint (MDE). Jakmile je FIM využívající MDE veřejné, fiM využívající prostředí AMA na portálu Defender for Cloud se odebere. V říjnu bude FIM využívající MMA zastaralá.
Migrace z FIM přes AMA
Pokud aktuálně používáte FIM přes AMA:
Registrace nových předplatných nebo serverů do FIM na základě AMA a rozšíření sledování změn a zobrazení změn už nebudou k dispozici prostřednictvím portálu Defender for Cloud od 30. května.
Pokud chcete pokračovat v využívání událostí FIM shromážděných AMA, můžete se ručně připojit k příslušnému pracovnímu prostoru a zobrazit změny v tabulce Change Tracking pomocí následujícího dotazu:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypePokud chcete pokračovat v onboardingu nových oborů nebo nakonfigurovat pravidla monitorování, můžete k konfiguraci nebo přizpůsobení různých aspektů shromažďování dat použít pravidla Připojení ionu dat ručně.
Microsoft Defender pro cloud doporučuje po vydání zakázat FIM přes AMA a připojit vaše prostředí k nové verzi FIM založené na defenderu pro koncový bod.
Zakázání FIM přes AMA
Pokud chcete FIM zakázat přes AMA, odeberte řešení Azure Change Tracking. Další informace naleznete v tématu Odebrání řešení ChangeTracking.
Případně můžete odebrat související pravidla shromažďování dat sledování změn souborů (DCR). Další informace najdete v tématu Remove-AzDataCollectionRuleAssociation nebo Remove-AzDataCollectionRule.
Po zakázání shromažďování událostí souboru pomocí jedné z výše uvedených metod:
- Nové události se přestanou shromažďovat ve vybraném oboru.
- Historické události, které již byly shromážděny, zůstávají uloženy v příslušném pracovním prostoru v tabulce ConfigurationChange v části Change Tracking . Tyto události zůstanou dostupné v příslušném pracovním prostoru podle doby uchovávání definované v tomto pracovním prostoru. Další informace najdete v tématu Jak funguje uchovávání a archivace.
Migrace z FIM přes agenta Log Analytics (MMA)
Pokud aktuálně používáte FIM přes agenta Log Analytics (MMA):
- Monitorování integrity souborů založené na agentovi Log Analytics (MMA) bude v říjnu 2024 zastaralé.
- Microsoft Defender pro cloud doporučuje po vydání zakázat FIM přes MMA a připojit vaše prostředí k nové verzi FIM založené na defenderu pro koncový bod.
Zakázání FIM přes MMA
Pokud chcete FIM zakázat přes MMA, odeberte řešení Azure Change Tracking. Další informace naleznete v tématu Odebrání řešení ChangeTracking.
Po zakázání shromažďování událostí souborů:
- Nové události se přestanou shromažďovat ve vybraném oboru.
- Historické události, které již byly shromážděny, zůstanou uloženy v příslušném pracovním prostoru v tabulce ConfigurationChange v části Change Tracking . Tyto události zůstanou dostupné v příslušném pracovním prostoru podle doby uchovávání definované v tomto pracovním prostoru. Další informace najdete v tématu Jak funguje uchovávání a archivace.
Příprava Defenderu pro SQL na počítačích
Další informace o defenderu pro SQL Server najdete v plánu vyřazení agenta Log Analytics na počítačích.
Pokud používáte aktuálního agenta Log Analytics nebo proces automatického zřizování agenta Azure Monitoru, měli byste migrovat na nový agent monitorování Azure pro SQL Server na počítačích s automatickým zřizováním. Proces migrace je bezproblémový a poskytuje nepřetržitou ochranu pro všechny počítače.
Migrace na proces automatického zřizování AMA cílený na SQL Server
Přihlaste se k portálu Azure.
Vyhledejte a vyberte Microsoft Defender for Cloud.
V nabídce Defender for Cloud vyberte Nastavení prostředí.
Vyberte příslušné předplatné.
V plánu Databáze vyberte Požadovanou akci.
V automaticky otevíraných otevíraných oknech vyberte Povolit.
Zvolte Uložit.
Jakmile je proces automatického zřizování AMA cílený na SQL server, měli byste zakázat proces automatického zřizování agenta Log Analytics nebo agenta Azure Monitoru a odinstalovat MMA na všech SQL serverech:
Zakázání agenta Log Analytics:
Přihlaste se k portálu Azure.
Vyhledejte a vyberte Microsoft Defender for Cloud.
V nabídce Defender for Cloud vyberte Nastavení prostředí.
Vyberte příslušné předplatné.
V plánu databáze vyberte Nastavení.
Přepněte agenta Log Analytics na vypnuto.
Zvolte Pokračovat.
Zvolte Uložit.
Plánování migrace
Doporučujeme naplánovat migraci agentů v souladu s vašimi obchodními požadavky. Tabulka shrnuje naše pokyny.
| Používáte Defender for Servers? | Vyžadují se tyto funkce Defenderu pro servery v ga: monitorování integrity souborů, doporučení ochrany koncových bodů, doporučení standardních hodnot zabezpečení? | Používáte Defender pro SERVERY SQL na počítačích nebo shromažďování protokolů AMA? | Plán migrace |
|---|---|---|---|
| Ano | Ano | No | 1. Povolte integraci Defenderu pro koncové body a kontrolu počítačů bez agentů. 2. Počkejte na ga všech funkcí s alternativní platformou (můžete použít starší verzi Preview). 3. Jakmile jsou funkce obecně dostupné, zakažte agenta Log Analytics. |
| No | --- | Ne | Agenta Log Analytics teď můžete odebrat. |
| No | --- | Ano | 1. Teď můžete migrovat na automatické zřizování SQL pro AMA . 2. Zakažte agenta Log Analytics nebo Azure Monitoru. |
| Ano | Ano | Yes | 1. Povolte integraci Defenderu pro koncové body a kontrolu počítačů bez agentů. 2. K získání všech funkcí v ga můžete použít agenta Log Analytics a AMA vedle sebe. Přečtěte si další informace o souběžném spouštění agentů. 3. Migrace do automatického zřizování SQL pro AMA v defenderu pro SQL na počítačích. Případně spusťte migraci z agenta Log Analytics do AMA v dubnu 2024. 4. Po dokončení migrace zakažte agenta Log Analytics. |
| Yes | Ne | Ano | 1. Povolte integraci Defenderu pro koncové body a kontrolu počítačů bez agentů. 2. Teď můžete migrovat na automatické zřizování SQL pro AMA v Defenderu pro SQL na počítačích. 3. Zakažte agenta Log Analytics. |