AMA-Migration für Microsoft Sentinel

In diesem Artikel wird der Migrationsprozess zum Azure Monitor-Agent (AMA) beschrieben, wenn Sie über einen vorhandenen Log Analytics-Agent (MMA/OMS) verfügen und mit Microsoft Sentinel arbeiten.

Wichtig

Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen.

Voraussetzungen

Beginnen Sie mit der Azure Monitor-Dokumentation, die einen Vergleich der Agents sowie allgemeine Informationen für diesen Migrationsprozess bereitstellt.

Dieser Artikel enthält spezifische Details und Unterschiede für Microsoft Sentinel.

Analyse der Lücke zwischen Agents

Die folgenden Tabellen zeigen Lückenanalysen für die Protokolltypen, die derzeit auf der Agent-basierten Datensammlung für Microsoft Sentinel basieren. Dies wird aktualisiert, während AMA mit dem Ziel, mit dem Log Analytics-Agenten gleichzuziehen, weiterentwickelt wird.

Wichtig

Der AMA verfügt derzeit über ein Limit von 5.000 Ereignissen pro Sekunde (EPS). Überprüfen Sie, ob dieser Grenzwert für Ihre Organisation geeignet ist, insbesondere, wenn Sie Ihre Server als Protokollweiterleitungen verwenden, z. B. für weitergeleitete Windows-Ereignisse oder Systemprotokollereignisse (Syslog).

Windows-Protokolle

Protokolltyp/Unterstützung Azure Monitor-Agent-Unterstützung Log Analytics-Agent-Unterstützung
Sicherheitsereignisse Windows-Sicherheitsereignisse-Datenconnector (öffentliche Vorschau) Windows-Sicherheitsereignisse-Datenconnector (Legacy)
Filtern nach Sicherheitsereignis-ID Windows-Sicherheitsereignisse-Datenconnector (AMA) (Öffentliche Vorschau) -
Filtern nach Ereignis-ID Nur Sammlung -
Windows-Ereignisweiterleitung Weitergeleitete Windows-Ereignisse (Öffentliche Vorschau) -
Windows-Firewallprotokolle - Windows-Firewall-Datenconnector
Leistungsindikatoren Nur Sammlung Nur Sammlung
Windows-Ereignisprotokolle Nur Sammlung Nur Sammlung
Benutzerdefinierte Protokolle - Nur Sammlung
IIS-Protokolle - Nur Sammlung
Multi-Homing Nur Sammlung Nur Sammlung
Anwendungs- und Dienstprotokolle - Nur Sammlung
Sysmon Nur Sammlung Nur Sammlung
DNS-Protokolle - Nur Sammlung

Linux-Protokolle

Protokolltyp/Unterstützung Azure Monitor-Agent-Unterstützung Log Analytics-Agent-Unterstützung
Syslog Nur Sammlung Syslog-Datenconnector
Nur Sammlung CEF-Datenconnector
Sysmon Nur Sammlung Nur Sammlung
Benutzerdefinierte Protokolle - Nur Sammlung
Multi-Homing Nur Sammlung -

Jede Organisation weist unterschiedliche Metriken für den Erfolg und interne Migrationsprozesse auf. Dieser Abschnitt enthält empfohlene Anleitungen für die Migration vom Log Analytics-Agent (MMA/OMS) zum AMA, insbesondere für Microsoft Sentinel.

Schließen Sie die folgenden Schritte in Ihren Migrationsprozess ein:

  1. Stellen Sie sicher, dass Sie Ihre Umgebungsanforderungen berücksichtigt haben und die Lücken zwischen den verschiedenen Agents verstehen. Weitere Informationen finden Sie unter Wann sollte ich migrieren? in der Azure Monitor-Dokumentation.

  2. Führen Sie einen Proof of Concept aus, um zu testen, wie der AMA Daten an Microsoft Sentinel sendet, idealerweise in einer Entwicklungs- oder Sandboxumgebung.

    1. Um Ihre Windows-Computer mit dem Windows-Sicherheitsereignisconnector zu verbinden, beginnen Sie mit der Windows-Sicherheitsereignisse über AMA-Datenconnectorseite in Microsoft Sentinel. Weitere Informationen finden Sie unter Windows-Agent-basierte Verbindungen.

    2. Wechseln Sie zur Sicherheitsereignisse über Legacy-Agent-Datenconnectorseite. Wählen Sie auf der Registerkarte Anweisungen unter Konfiguration>Schritt 2 aus, welche Ereignisse gestreamt werden sollen, und wählen Sie dann Keine aus. Dadurch wird Ihr System so konfiguriert, dass Sie keine Sicherheitsereignisse über MMA/OMS empfangen, aber andere Datenquellen, die auf diesem Agent basieren, funktionieren weiterhin. Dieser Schritt wirkt sich auf alle Computer aus, die Berichte an Ihren aktuellen Log Analytics-Arbeitsbereich melden.

    Wichtig

    Das Erfassen von Daten aus derselben Quelle mithilfe von zwei verschiedenen Arten von Agents führt zu doppelten Erfassungsgebühren und doppelten Ereignissen im Microsoft Sentinel-Arbeitsbereich.

    Wenn Sie den Betrieb beider Datenconnectors gleichzeitig aufrechterhalten müssen, empfiehlt es sich, dies nur für einen begrenzten Zeitraum für einen Benchmarktest oder eine Testvergleichsaktivität durchzuführen, idealerweise in einem separaten Testarbeitsbereich.

  3. Messen Sie den Erfolg Ihres Proof of Concept.

    Verwenden Sie zur Unterstützung für diesen Schritt die Arbeitsmappe AMA-Migrationsnachverfolgung, in der die Server angezeigt werden, die Berichte an Ihre Arbeitsbereiche melden, und ob der Legacy-MMA, der AMA oder beide Agents installiert sind. Sie können diese Arbeitsmappe auch verwenden, um die DCRs anzuzeigen, die Ereignisse von Ihren Computern sammeln, und welche Ereignisse sie sammeln.

    Beispiel:

    Screenshot of the AMA migration tracker workbook.

    Erfolgskriterien sollten eine statistische Analyse und einen Vergleich der quantitativen Daten umfassen, die von den MMA/OMS- und AMA-Agents auf demselben Host erfasst werden:

    • Messen Sie Ihren Erfolg über einen vordefinierten Zeitraum, der eine normale Workload für Ihre Umgebung darstellt.

    • Stellen Sie beim Testen sicher, dass Sie jedes neue Feature testen, das vom AMA bereitgestellt wird, z. B. Linux-Multi-Homing, Windows-Ereignisfilterung usw.

    • Planen Sie Ihren Rollout für AMA-Agents in Ihrer Produktionsumgebung gemäß dem Risikoprofil und den Änderungsprozessen Ihrer Organisation.

  4. Führen Sie den neuen Agent in Ihre Produktionsumgebung ein, und führen Sie einen abschließenden Test der AMA-Funktionalität aus.

  5. Trennen Sie alle Datenconnectors, die auf dem Legacyconnector basieren, z. B. Sicherheitsereignisse mit MMA. Behalten Sie die Ausführung des neuen Connectors, z. B. Windows-Sicherheitsereignisse mit AMA, bei.

    Sie können zwar sowohl die Legacy-MMA/OMS-Agents als auch die AMA-Agents parallel ausführen, vermeiden dabei jedoch doppelte Kosten und Daten, indem Sie sicherstellen, dass jede Datenquelle nur einen Agent verwendet, um Daten an Microsoft Sentinel zu senden.

  6. Überprüfen Sie Ihren Microsoft Sentinel-Arbeitsbereich, um sicherzustellen, dass alle Ihre Datenströme durch die neuen AMA-basierten Connectors ersetzt wurden.

  7. Deinstallieren Sie den Legacy-Agent. Weitere Informationen finden Sie unter Verwalten des Azure Log Analytics-Agents.

Häufig gestellte Fragen

In den folgenden häufig gestellten Fragen werden spezifische Probleme bei der AMA-Migration mit Microsoft Sentinel behandelt. Weitere Informationen finden Sie auch in den Häufig gestellten Fragen zur AMA-Migration in der Azure Monitor-Dokumentation.

Was geschieht, wenn ich MMA/OMS und AMA parallel in meiner Microsoft Sentinel-Bereitstellung ausführe?

Sowohl die AMA- als auch die MMA/OMS-Agents können auf demselben Computer gleichzeitig vorhanden sein. Wenn beide gleichzeitig von einem einzigen Host aus Daten aus derselben Datenquelle an einen Microsoft Sentinel-Arbeitsbereich senden, kommt es zu doppelten Ereignissen, und es fallen doppelte Gebühren für die Datenerfassung an.

Für Ihren Produktionsrollout empfiehlt es sich, entweder einen MMA/OMS-Agent oder den AMA für jede Datenquelle zu konfigurieren. Informationen zum Beheben von Problemen durch Duplizierung finden Sie in den entsprechenden häufig gestellten Fragen in der Azure Monitor-Dokumentation.

Der AMA verfügt noch nicht über die Features, die meine Microsoft Sentinel-Bereitstellung für ihre Funktion benötigt. Sollte ich schon migrieren?

Der Legacy-Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen.

Es wird empfohlen, dass Sie mit den neuen Features, die für den AMA im Laufe der Zeit veröffentlicht werden, auf dem neuesten Stand bleiben, da das baldige Ziel hierbei Funktionsgleichheit mit MMA/OMS ist. Migrieren Sie, sobald die Funktionen, die Sie zum Ausführen Ihrer Microsoft Sentinel-Bereitstellung benötigen, im AMA verfügbar sind.

Obwohl Sie MMA und AMA gleichzeitig ausführen können, sollten Sie doch jeden Connector nacheinander migrieren, während Sie beide Agents ausführen.

Nächste Schritte

Weitere Informationen finden Sie unter: