Vorbereiten auf das Ende der Unterstützung des Log Analytics-Agents
Der Log Analytics-Agent (auch bezeichnet als Microsoft Monitoring Agent, MMA) wird im August 2024 außer Betrieb genommen. Daher werden die Pläne für Defender for Servers und Defender for SQL Server auf Computern in Microsoft Defender for Cloud aktualisiert, und die auf dem Log Analytics-Agent basierenden Features werden überarbeitet.
In diesem Artikel werden die Pläne für die Einstellung von Agents zusammengefasst.
Vorbereiten von Microsoft Defender for Servers
Der Defender for Servers-Plan verwendet den Log Analytics-Agent in der allgemeinen Verfügbarkeit (GA) und im Azure Monitor-Agent (AMA) für einige Features (in der Vorschau). Hier erfahren Sie, was mit diesen Features in Zukunft geschieht:
Um das Onboarding zu vereinfachen, werden alle Sicherheitsfeatures und -funktionen von Defender for Servers mit einem einzigen Agent (Microsoft Defender for Endpoint, (MDE)) bereitgestellt und durch die Computerüberprüfung ohne Agent ergänzt, ohne dass dabei eine Abhängigkeit vom Log Analytics-Agent oder AMA besteht. Beachten Sie dabei Folgendes:
- Defender for Servers-Features, die auf dem AMA basieren, befinden sich derzeit in der Vorschau und werden nicht in der allgemeinen Verfügbarkeit veröffentlicht.
- Funktionen in der Vorschau, die sich auf AMA stützen, werden so lange unterstützt, bis eine alternative Version der Funktion bereitgestellt wird, die sich auf die Defender for Endpoint-Integration oder die agentenlose Rechner-Scan-Funktion stützt.
- Durch Aktivieren der Defender für Endpunkt-Integrations- und agentlosen Computerüberprüfungsfunktion, bevor die Deaktivierung stattfindet, wird Ihre Defender für Server-Bereitstellung auf dem neuesten Stand und unterstützt.
Featurefunktionalität
In der folgenden Tabelle wird zusammengefasst, wie Defender for Servers-Features bereitgestellt werden. Die meisten Features sind bereits bei Verwendung der Defender for Endpoint-Integration oder Computerüberprüfung ohne Agent allgemein verfügbar. Die restlichen Features werden allgemein verfügbar, wenn der MMA außer Betrieb genommen wird oder veraltet ist.
| Funktion | Aktuelle Unterstützung | Neue Unterstützung | Status der neuen Funktionalität |
|---|---|---|---|
| Defender für Endpoint-Integration für Windows-Rechner der unteren Ebene (Windows Server 2016/2012 R2) | Legacysensor für Defender for Endpoint, basierend auf dem Log Analytics-Agent | Vereinheitlichte Agent-Integration | – Die Funktionalität mit dem vereinheitlichten Agent ist allgemein verfügbar. – Die Funktionalität mit dem Legacysensor für Defender for Endpoint, der den Log Analytics-Agent verwendet, wird ab August 2024 nicht mehr unterstützt. |
| Bedrohungserkennung auf Betriebssystemebene | Log Analytics-Agent | Defender for Endpoint-Agent-Integration | Die Funktionalität mit dem Defender for Endpoint-Agent ist allgemein verfügbar. |
| Adaptive Anwendungssteuerungen | Log Analytics-Agent (GA), AMA (Vorschau) | --- | Die adaptive Anwendungssteuerung wird voraussichtlich im August 2024 veraltet sein. |
| Empfehlungen zur Endpunktschutzermittlung | Empfehlungen, die über den CsPM-Plan (Foundational Cloud Security Posture Management) und Defender für Server verfügbar sind, mithilfe des Log Analytics-Agents (GA), AMA (Preview) | Computerüberprüfung ohne Agent | – Die Funktionalität mit der Computerüberprüfung ohne Agent wird im Februar 2024 als Teil des Defender for Servers-Plans 2 und des Defender CSPM-Plans als Vorschau veröffentlicht. – Azure VMs, Google Cloud Platform (GCP)-Instanzen und Amazon Web Services (AWS)-Instanzen werden unterstützt. Lokale Computer werden nicht unterstützt. |
| Empfehlung für fehlende Betriebssystemupdates | Empfehlungen, die in den Plänen Foundational CSPM und Defender for Servers unter Verwendung des Log Analytics-Agenten verfügbar sind. | Integration in Azure Update Manager, Microsoft | Neue Empfehlungen, die auf der Azure Update Manager-Integration basieren, sind allgemein verfügbar (ohne Agent-Abhängigkeiten). |
| Fehlkonfigurationen des Betriebssystems (Microsoft Cloud Security Benchmark) | Empfehlungen, die über die Pläne Foundational CSPM und Defender for Servers unter Verwendung des Agenten Log Analytics, Agent Guest Configuration (Preview) verfügbar sind. | Microsoft Defender-Sicherheitsrisikoverwaltung (Premium), als Teil des Defender for Servers-Plans 2 | – Die Funktionalität basierend auf der Integration in die Microsoft Defender-Sicherheitsrisikoverwaltung (Premium) wird in der Vorschau verfügbar sein, die für April 2024 vorgesehen ist. – Die Funktionalität mit dem Log Analytics-Agent wird im August 2024 nicht mehr unterstützt. – Die Funktionalität mit dem Gastkonfigurations-Agent (Vorschau) gilt als veraltet, wenn die Microsoft Defender-Sicherheitsrisikoverwaltung verfügbar ist. – Unterstützung dieses Features für Docker-Hub- und Azure Virtual Machine Scale Sets wird im August 2024 nicht mehr unterstützt. |
| Dateiintegritätsüberwachung | Log Analytics-Agent, AMA (Vorschau) | Defender for Endpoint-Agent-Integration | – Die Funktionalität mit dem Defender for Endpoint-Agent ist schätzungsweise im April 2024 verfügbar. – Die Funktionalität mit dem Log Analytics-Agent wird ab August 2024 nicht mehr unterstützt. – Die Funktionalität mit dem AMA wird nicht mehr unterstützt, wenn die Defender for Endpoint-Integration veröffentlicht wird. |
Der 500-MB-Vorteil für die Datenerfassung über die definierten Tabellen wird weiterhin über den AMA-Agent für die Computer mit Abonnements unterstützt, die vom Defender for Servers-Plan 2 abgedeckt werden. Jeder Computer ist nur einmal für den Vorteil berechtigt, auch wenn sowohl der Log Analytics-Agent als auch der Azure Monitor-Agent darauf installiert sind. Informieren Sie sich weiter über die Bereitstellung des AMA.
Für SQL Server auf Computern wird die Migration zum Prozess für die automatische Bereitstellung des Azure Monitor-Agents (AMA) für SQL Server empfohlen.
Funktion für Endpunktschutzempfehlungen
Die Endpunktermittlung und -empfehlungen werden derzeit von grundlegenden CSPM-Features für Defender for Cloud und dem Defender for Servers-Plan mithilfe des Log Analytics-Agents in allgemeiner Verfügbarkeit oder in der Vorschau über den AMA bereitgestellt. Diese Funktion wird durch Sicherheitsempfehlungen ersetzt, die mithilfe von Computerüberprüfungen ohne Agents gesammelt werden.
Endpunktschutzempfehlungen werden in zwei Phasen erstellt. Die erste Phase stellt die Ermittlung einer Endpunkterkennungs- und Reaktionslösung dar. Die zweite Phase umfasst die Bewertung der Lösungskonfiguration. Die folgenden Tabellen enthalten Details zu den aktuellen und neuen Funktionen für jede Phase.
Erfahren Sie, wie Sie diese neuen Empfehlungen der Endpunkterkennung und -antwort (ohne Agent) verwalten.
Endpunkterkennungs- und Reaktionslösung – Ermittlung
| Bereich | Aktuelle Funktion (basierend auf dem AMA/MMA) | Neue Funktion (basierend auf der Computerüberprüfung ohne Agent) |
|---|---|---|
| Was ist erforderlich, um eine Ressource als fehlerfrei zu klassifizieren? | Virenschutz vorhanden | Endpunkterkennungs- und Reaktionslösung vorhanden |
| Was ist erforderlich, um die Empfehlung zu erhalten? | Log Analytics-Agent | Computerüberprüfung ohne Agent |
| Welche Pläne werden unterstützt? | – Grundlegende CSPM-Features (kostenlos) – Defender for Servers-Plan 1 und 2 |
– Defender CSPM – Defender for Servers-Plan 2 |
| Welcher Fix ist verfügbar? | Installation von Microsoft-Antischadsoftware | Installation von Defender for Endpoint auf ausgewählten Computern bzw. für ausgewählte Abonnements |
Endpunkterkennungs- und Reaktionslösung – Konfigurationsbewertung
| Bereich | Aktuelle Funktion (basierend auf dem AMA/MMA) | Neue Funktion (basierend auf der Computerüberprüfung ohne Agent) |
|---|---|---|
| Ressourcen werden als fehlerhaft klassifiziert, wenn eine oder mehrere Sicherheitsprüfungen nicht fehlerfrei sind. | Drei Sicherheitsprüfungen: – Der Echtzeitschutz ist deaktiviert. – Signaturen sind veraltet. – Die Schnellüberprüfung und die vollständige Überprüfung wurden seit sieben Tagen nicht ausgeführt. |
Drei Sicherheitsprüfungen: – Der Virenschutz ist deaktiviert oder teilweise konfiguriert. – Signaturen sind veraltet. – Die Schnellüberprüfung und die vollständige Überprüfung wurden seit sieben Tagen nicht ausgeführt. |
| Voraussetzungen, um die Empfehlung zu erhalten | Antischadsoftwarelösung vorhanden | Endpunkterkennungs- und Reaktionslösung vorhanden |
Welche Empfehlungen sind veraltet?
In der folgenden Tabelle wird der Zeitplan für Empfehlungen zusammengefasst, die veraltet sind und ersetzt werden.
Die Funktion für neue Empfehlungen, die auf der Computerüberprüfung ohne Agent basiert, unterstützt Windows- und Linux-Betriebssysteme auf Multi-Cloud-Computern.
Wie funktioniert der Ersatz?
- Aktuelle Empfehlungen, die vom Log Analytics-Agent oder AMA bereitgestellt werden, werden im Laufe der Zeit nicht mehr unterstützt.
- Einige dieser vorhandenen Empfehlungen werden durch neue Empfehlungen ersetzt, die auf Computerüberprüfungen ohne Agent basieren.
- Die derzeit allgemein verfügbaren Empfehlungen bleiben erhalten, bis der Log Analytics-Agent eingestellt wird.
- Empfehlungen, die sich derzeit in der Vorschau befinden, werden ersetzt, wenn die neue Empfehlung in der Vorschau verfügbar ist.
Was geschieht mit der Sicherheitsbewertung?
- Empfehlungen, die derzeit allgemein verfügbar sind, wirken sich weiterhin auf die Sicherheitsbewertung aus.
- Aktuelle und bevorstehende neue Empfehlungen befinden sich unter demselben Microsoft Cloud Security Benchmark-Steuerelement, um sicherzustellen, dass keine doppelten Auswirkungen auf die Sicherheitsbewertung vorhanden sind.
Wie bereite ich mich auf die neuen Empfehlungen vor?
- Stellen Sie sicher, dass die Computerüberprüfung ohne Agent als Teil des Defender for Servers-Plan 2 oder von Defender CSPM aktiviert ist.
- Wenn sie für Ihre Umgebung geeignet ist, wird empfohlen, veraltete Empfehlungen zu entfernen, wenn die allgemein verfügbare Ersatzempfehlung verfügbar wird. Deaktivieren Sie dazu die Empfehlung in der integrierten Defender for Cloud-Initiative in Azure Policy.
Vorbereiten von Defender for SQL Server auf Computern
Weitere Informationen finden Sie unter Defender for SQL Server auf Computern.
Wenn Sie den aktuellen automatischen Bereitstellungsprozess des Log Analytics-Agents bzw. Azure Monitor-Agents verwenden, sollten Sie zum neuen automatischen Bereitstellungsprozess für den Azure Monitor-Agent für SQL Server auf Computern migrieren. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.
Migration zum automatischen AMA-Bereitstellungsprozess für SQL-Server
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Wählen Sie unter dem Datenbankenplan die Option Aktion erforderlich aus.
Wählen Sie im Popupfenster Aktivieren aus.
Wählen Sie Speichern.
Nachdem der automatische Bereitstellungsprozess für den AMA für SQL Server aktiviert wurde, sollten Sie den automatischen Bereitstellungsprozess des Log Analytics-Agents bzw. Azure Monitor-Agents deaktivieren und den MMA auf allen SQL Server-Instanzen deinstallieren:
Führen Sie die folgenden Schritte aus, um den Log Analytics-Agent zu deaktivieren:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Wählen Sie unter dem Datenbankplan die Option Einstellungen aus.
Schalten Sie den Log Analytics-Agent auf Aus.
Wählen Sie Continue (Weiter) aus.
Wählen Sie Speichern.
Migrationsplanung
Es wird empfohlen, die Agent-Migration gemäß Ihren geschäftlichen Anforderungen zu planen. Die Tabelle fasst die Anleitungen zusammen.
| Verwenden Sie Defender for Servers? | Sind diese Defender for Servers-Features in der allgemein verfügbaren Version erforderlich: Dateiintegritätsüberwachung, Endpunktschutzempfehlungen, Empfehlungen zur Sicherheitsbaseline? | Verwenden Sie Defender for SQL Server auf Computern oder die AMA-Protokollsammlung? | Migrationsplan |
|---|---|---|---|
| Ja | Ja | No | 1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Warten Sie auf die allgemeine Verfügbarkeit aller Features für die Plattform der Alternative (Vorschauversion kann früher verwendet werden). 3. Sobald die Features allgemein verfügbar sind, deaktivieren Sie den Log Analytics-Agent. |
| Nein | --- | Nein | Sie können den Log Analytics-Agent jetzt entfernen. |
| Nein | --- | Ja | 1. Sie können jetzt zur automatischen SQL-Bereitstellung für AMA migrieren. 2. Deaktivieren Sie den Log Analytics- bzw. Azure Monitor-Agent. |
| Ja | Ja | Ja | 1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Sie können den Log Analytics-Agent und AMA parallel verwenden, um alle Features in der allgemeinen Verfügbarkeit zu erhalten. Informieren Sie sich weiter über die parallele Ausführung von Agents. 3. Migrieren Sie zur automatischen SQL-Bereitstellung für den AMA in Defender for SQL auf Computern. Alternativ können Sie die Migration vom Log Analytics-Agent zum AMA im April 2024 starten. 4. Deaktivieren Sie nach Abschluss der Migration den Log Analytics-Agent. |
| Ja | Keine | Ja | 1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Sie können jetzt zur automatischen SQL-Bereitstellung für den AMA in Defender for SQL auf Computern migrieren. 3. Deaktivieren Sie den Log Analytics-Agent. |