Migrace AMA pro Microsoft Sentinel
Tento článek popisuje proces migrace do agenta služby Azure Monitor (AMA), pokud máte existujícího agenta Log Analytics (MMA/OMS) a pracujete s Microsoft Sentinelem.
Důležité
Agent Log Analytics bude vyřazen 31. srpna 2024. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA.
Požadavky
Začněte s dokumentací ke službě Azure Monitor, která poskytuje porovnání agentů a obecné informace pro tento proces migrace.
Tento článek obsahuje konkrétní podrobnosti a rozdíly pro Microsoft Sentinel.
Analýza mezer mezi agenty
Následující tabulky ukazují analýzy mezer pro typy protokolů, které aktuálně spoléhají na shromažďování dat založených na agentech pro Microsoft Sentinel. Tato aktualizace se aktualizuje, protože podpora pro AMA roste směrem k paritě s agentem Log Analytics.
Protokoly Windows
| Typ protokolu / podpora | Podpora agenta Služby Azure Monitor | Podpora agenta Log Analytics |
|---|---|---|
| Události zabezpečení | datový konektor Zabezpečení Windows Events | datový konektor Zabezpečení Windows Events (starší verze) |
| Filtrování podle ID události zabezpečení | datový konektor Zabezpečení Windows Events (AMA) | - |
| Filtrování podle ID události | Pouze kolekce | - |
| Předávání událostí systému Windows | Události přeposlané systémem Windows | - |
| Protokoly brány Windows Firewall | - | Datový konektor brány Windows Firewall |
| Čítače výkonu | Pouze kolekce | Pouze kolekce |
| Protokoly událostí systému Windows (systém) | Pouze kolekce | Pouze kolekce |
| Vlastní protokoly (text) | Pouze kolekce | Pouze kolekce |
| Protokoly IIS | Pouze kolekce | Pouze kolekce |
| Vícenásobné navádění | Pouze kolekce | Pouze kolekce |
| Protokoly aplikací a služeb | Pouze kolekce | Pouze kolekce |
| Sysmon | Pouze kolekce | Pouze kolekce |
| Protokoly DNS | Servery DNS systému Windows prostřednictvím konektoru AMA (Public Preview) | Konektor Windows DNS Serveru (Public Preview) |
Důležité
Agent Azure Monitoru poskytuje propustnost, která je 25 % lepší než starší agenti Log Analytics. Migrujte na nové konektory AMA, abyste získali vyšší výkon, zejména pokud používáte servery jako služby předávání protokolů pro události zabezpečení Windows nebo předávané události.
Protokoly Linuxu
| Typ protokolu / podpora | Podpora agenta Služby Azure Monitor | Podpora agenta Log Analytics |
|---|---|---|
| Syslog | Pouze kolekce | Datový konektor Syslog |
| Common Event Format (CEF) | CEF přes datový konektor AMA | Datový konektor CEF |
| Sysmon | Pouze kolekce | Pouze kolekce |
| Vlastní protokoly (text) | Pouze kolekce | Pouze kolekce |
| Vícenásobné navádění | Pouze kolekce | - |
Doporučený plán migrace
Každá organizace bude mít různé metriky úspěšných a interních procesů migrace. Tato část obsahuje navrhované pokyny, které byste měli zvážit při migraci z agenta MMA/OMS služby Log Analytics do AMA, konkrétně pro Microsoft Sentinel.
Do procesu migrace uveďte následující kroky:
Ujistěte se, že jste si prostudovali nezbytné požadavky a další aspekty, jak je uvedeno tady v dokumentaci ke službě Azure Monitor.
Spusťte testování konceptu a otestujte, jak AMA odesílá data do Microsoft Sentinelu v ideálním případě ve vývojovém nebo sandboxovém prostředí.
Pokud chcete připojit počítače s Windows ke konektoru událostí Zabezpečení Windows, začněte Zabezpečení Windows Události prostřednictvím stránky datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Připojení založená na agentech systému Windows.
Přejděte na stránku události zabezpečení prostřednictvím datového konektoru starší verze agenta . Na kartě Pokyny v části Konfigurace> krok 2 vyberte, které události se mají streamovat, vyberte Žádné. Tím se váš systém nakonfiguruje tak, abyste neobdrželi žádné události zabezpečení prostřednictvím MMA/OMS, ale ostatní zdroje dat, které se spoléhají na tohoto agenta, budou dál fungovat. Tento krok ovlivní všechny počítače, které hlásí aktuální pracovní prostor služby Log Analytics.
Důležité
Příjem dat ze stejného zdroje pomocí dvou různých typů agentů způsobí, že se v pracovním prostoru Microsoft Sentinel budou účtovat poplatky za dvojí příjem dat a duplicitní události.
Pokud potřebujete, aby oba datové konektory běžely současně, doporučujeme, abyste to udělali pouze po omezenou dobu pro srovnávací testy nebo aktivitu porovnání testů v ideálním případě v samostatném testovacím pracovním prostoru.
Změřte úspěšnost testování konceptu.
Pokud chcete s tímto krokem pomoct, použijte sešit nástroje AMA Migration Tracker , který zobrazuje servery, které se hlásí do vašich pracovních prostorů, a jestli mají nainstalované starší agenty MMA, AMA nebo oba agenty. Tento sešit můžete také použít k zobrazení řadičů domény, které shromažďují události z vašich počítačů, a událostí, které shromažďují.
Příklad:
Kritéria úspěchu by měla zahrnovat statistickou analýzu a porovnání kvantitativních dat přijatých agenty MMA/OMS a AMA na stejném hostiteli:
Změřte úspěch v rámci předdefinovaného časového období, které představuje běžnou úlohu pro vaše prostředí.
Při testování nezapomeňte otestovat každou novou funkci, kterou poskytuje AMA, například vícenásobné navádání Linuxu, filtrování událostí Windows atd.
Naplánujte zavedení agentů AMA v produkčním prostředí podle rizikového profilu vaší organizace a procesů změn.
Nasaďte nového agenta do produkčního prostředí a spusťte konečný test funkčnosti AMA.
Odpojte všechny datové konektory, které se spoléhají na starší konektor, například události zabezpečení pomocí MMA. Nechte nový konektor, například Zabezpečení Windows Události pomocí AMA, spuštěný.
I když můžete mít starší verzi MMA/OMS i agenty AMA spuštěné paralelně, můžete zabránit duplicitním nákladům a datům tím, že zajistíte, aby každý zdroj dat k odesílání dat do Microsoft Sentinelu používal jenom jednoho agenta.
Zkontrolujte pracovní prostor Microsoft Sentinelu a ujistěte se, že všechny datové proudy byly nahrazeny pomocí nových konektorů založených na AMA.
Odinstalujte starší verzi agenta. Další informace najdete v tématu Správa agenta Azure Log Analytics .
Nejčastější dotazy
Následující nejčastější dotazy řeší problémy související s migrací AMA s Microsoft Sentinelem. Další informace najdete také v nejčastějších dotazech k migraci AMA a nejčastějším dotazům k agentovi služby Azure Monitor v dokumentaci ke službě Azure Monitor.
Co se stane, když paralelně spustím MMA/OMS i AMA v nasazení Microsoft Sentinelu?
Agenti AMA i MMA/OMS mohou existovat na stejném počítači. Pokud oba posílají data ze stejného zdroje dat do pracovního prostoru Microsoft Sentinelu najednou, dojde z jednoho hostitele k duplicitním událostem a poplatkům za dvojí příjem dat.
Pro uvedení do produkčního prostředí doporučujeme nakonfigurovat agenta MMA/OMS nebo AMA pro každý zdroj dat. Pokud chcete vyřešit případné problémy s duplikací, projděte si příslušné nejčastější dotazy v dokumentaci ke službě Azure Monitor.
AMA zatím nemá funkce, které moje nasazení Microsoft Sentinelu potřebuje. Mám migrovat?
Starší verze agenta Log Analytics bude vyřazena 31. srpna 2024.
Doporučujeme udržovat aktuální informace o nových funkcích vydaných pro AMA v průběhu času, protože dosahuje parity s MMA/OMS. Snažte se migrovat, jakmile budou funkce, které potřebujete ke spuštění nasazení Microsoft Sentinelu, dostupné v AMA.
I když můžete současně spouštět MMA a AMA, můžete chtít migrovat jednotlivé konektory po jednom a současně spouštět oba agenty.
Další kroky
Další informace naleznete v tématu: