Preparación para la retirada del agente de Log Analytics
El agente de Azure Log Analytics, también conocido como Microsoft Monitoring Agent (MMA), se retirará en agosto de 2024. Como consecuencia, se actualizarán los planes de Defender para servidores y Defender para SQL en máquinas en Microsoft Defender for Cloud y se rediseñarán las características que dependen del agente de Log Analytics.
En este artículo se resumen los planes para la retirada del agente.
Preparación de Defender para servidores
El plan de Defender para servidores usa el agente de Log Analytics en disponibilidad general (GA) y en AMA con algunas características (en versión preliminar). Esto es lo que va a suceder con estas características en el futuro:
Para simplificar la incorporación, todas las características y funcionalidades de seguridad de Defender para servidores se proporcionarán con un único agente (Microsoft Defender para punto de conexión), complementado con el examen de máquinas sin agente, sin dependencia del agente de Log Analytics o de AMA. Observe lo siguiente:
- Las características de Defender para servidores, que se basan en AMA, se encuentran actualmente en versión preliminar y no se publicarán para disponibilidad general.
- Las características de la versión preliminar que dependen de AMA siguen siendo compatibles hasta que se proporcione una versión alternativa de la característica, que se basará en la integración de Defender para punto de conexión o en la característica de examen de máquinas sin agente.
- Al habilitar la característica de integración de Defender para punto de conexión y el examen de máquinas sin agente antes de que quede en desuso, la implementación de Defender para servidores estará actualizada y admitida.
Característica/funcionalidad
En la tabla siguiente se resume cómo se proporcionarán las características de Defender para servidores. La mayoría de las características ya están disponibles con carácter general mediante la integración de Defender para punto de conexión o el examen de máquinas sin agente. El resto de las características estarán disponibles con carácter general cuando se retire el MMA o quedarán en desuso.
| Característica | Compatibilidad actual | Nueva compatibilidad | Estado de la nueva experiencia |
|---|---|---|---|
| Integración de Defender para punto de conexión en máquinas Windows de nivel descendente (Windows Server 2016/2012 R2) | Sensor heredado de Defender para punto de conexión, basado en el agente de Log Analytics | Integración del agente unificado | - La funcionalidad con el agente unificado está en disponibilidad general. - La funcionalidad con el sensor heredado de Defender para punto de conexión mediante el agente de Log Analytics quedará en desuso en agosto de 2024. |
| Detección de amenazas de nivel de sistema operativo | Agente de Log Analytics | Integración del agente de Defender para punto de conexión | La funcionalidad con el agente de Defender para punto de conexión está en disponibilidad general. |
| Controles de aplicación adaptables | Agente de Log Analytics (GA), AMA (versión preliminar) | --- | La característica de control de aplicaciones adaptable quedará en desuso en agosto de 2024. |
| Recomendaciones para la detección de protección de puntos de conexión | Recomendaciones disponibles a través del plan Administración de la posición de seguridad en la nube básica (CSPM) y Defender para servidores, mediante el agente de Log Analytics (GA), AMA (versión preliminar) | Examen de máquinas sin agente | - La funcionalidad con el examen de máquinas sin agente estará disponible en versión preliminar en febrero de 2024 como parte del plan 2 de Defender para servidores y el plan CSPM de Defender. - Se admitirán las VM de Azure, las instancias de Google Cloud Platform (GCP) y las instancias de Amazon Web Services (AWS). No se admitirán las máquinas locales. |
| Falta la recomendación de actualizar el sistema operativo | Recomendaciones disponibles en CSPM básico y Defender para servidores mediante el agente de Log Analytics. | Integración con el Administrador de actualizaciones, Microsoft | Las nuevas recomendaciones basadas en la integración del Administrador de actualizaciones de Azure están en disponibilidad general, sin dependencias del agente. |
| Errores de configuración del sistema operativo (Microsoft Cloud Security Benchmark) | Recomendaciones disponibles a través de los planes CSPM básico y Defender para servidores mediante el agente de Log Analytics, el agente de configuración de invitado (versión preliminar). | Administración de vulnerabilidades de Microsoft Defender prémium, como parte del plan 2 de Defender para servidores. | - La funcionalidad basada en la integración con la Administración de vulnerabilidades de Microsoft Defender prémium estará disponible en versión preliminar aproximadamente en abril de 2024. - La funcionalidad con el agente de Log Analytics quedará en desuso en agosto de 2024. - La funcionalidad con el agente de configuración de invitado (versión preliminar) estará en desuso cuando la Administración de vulnerabilidades de Microsoft Defender esté disponible. - La compatibilidad de esta característica en Docker Hub y Virtual Machine Scale Sets quedará en desuso en agosto de 2024. |
| Supervisión de la integridad de los archivos | Agente de Log Analytics, AMA (versión preliminar) | Integración del agente de Defender para punto de conexión | La funcionalidad con el agente de Defender para punto de conexión estará disponible aproximadamente en abril de 2024. - La funcionalidad con el agente de Log Analytics quedará en desuso en agosto de 2024. - La funcionalidad con AMA quedará en desuso cuando se publique la integración de Defender para punto de conexión. |
La ventaja de 500 MB para la ingesta de datos en las tablas definidas se sigue admitiendo a través del agente AMA en las máquinas con suscripciones cubiertas por el plan 2 de Defender para servidores. Cada máquina es apta para la ventaja solo una vez, incluso si tanto el agente de Log Analytics como el agente de Azure Monitor están instalados en él. Más información sobre cómo implementar AMA.
En el caso de los servidores SQL Server en máquinas, se recomienda migrar al proceso de aprovisionamiento automático del Agente de Azure Monitor (AMA) con destino SQL Server.
Experiencia de las recomendaciones de protección de los puntos de conexión
La detección y las recomendaciones de puntos de conexión se proporcionan actualmente mediante el CSPM básico de Defender for Cloud y el plan de Defender para servidores con el agente de Log Analytics en disponibilidad general o en versión preliminar a través del AMA. Esta experiencia se reemplazará por recomendaciones de seguridad que se recopilan mediante el examen de máquinas sin agente.
Las recomendaciones de protección de los puntos de conexión se construyen en dos fases. La primera fase es la detección de una solución de detección y respuesta de puntos de conexión. La segunda es la evaluación de la configuración de la solución. En las tablas siguientes se proporcionan detalles de las experiencias actuales y nuevas para cada fase.
Obtener información sobre cómo administrar las nuevas recomendaciones de detección y respuesta de puntos de conexión (sin agente).
Solución de detección y respuesta de puntos de conexión: detección
| Área | Experiencia actual (basada en AMA/MMA) | Nueva experiencia (basada en el examen de máquinas sin agente) |
|---|---|---|
| ¿Qué se necesita para clasificar un recurso como en buen estado? | Se dispone de un antivirus. | Se dispone de una solución de detección y respuesta de puntos de conexión. |
| ¿Qué se necesita para obtener la recomendación? | Agente de Log Analytics | Examen de máquinas sin agente |
| ¿Qué planes se admiten? | - CSPM básico (gratis) - Defender para servidores Plan 1 y Plan 2 |
- CSPM de Defender - Defender para servidores Plan 2 |
| ¿Qué corrección está disponible? | Instale el antimalware de Microsoft. | Instale Defender para punto de conexión en máquinas o suscripciones seleccionadas. |
Solución de detección y respuesta de puntos de conexión: evaluación de configuración
| Área | Experiencia actual (basada en AMA/MMA) | Nueva experiencia (basada en el examen de máquinas sin agente) |
|---|---|---|
| Los recursos se clasifican como en mal estado si una o varias de las comprobaciones de seguridad no están en buen estado. | Tres comprobaciones de seguridad: - La protección en tiempo real está desactivada. - Las firmas no están actualizadas. - Tanto el examen rápido como el examen completo no se ejecutan durante siete días. |
Tres comprobaciones de seguridad: - Antivirus está desactivado o parcialmente configurado - Las firmas no están actualizadas. - Tanto el examen rápido como el examen completo no se ejecutan durante siete días. |
| Requisitos previos para obtener la recomendación | Disponer de una solución antimalware. | Se dispone de una solución de detección y respuesta de puntos de conexión. |
¿Qué recomendaciones van a quedar en desuso?
En la tabla siguiente se resume el calendario de las recomendaciones que van a quedar en desuso y se van a reemplazar.
La experiencia de nuevas recomendaciones, basada en el examen de máquinas sin agente, se admite tanto el sistema operativo Windows como Linux en máquinas multinube.
¿Cómo funcionará el reemplazo?
- Las recomendaciones actuales proporcionadas por el agente de Log Analytics o el AMA quedarán en desuso con el tiempo.
- Algunas de estas recomendaciones existentes se reemplazarán por otras nuevas basadas en el examen de máquinas sin agente.
- Las recomendaciones actualmente en disponibilidad general permanecerán en vigor hasta que se retire el agente de Log Analytics.
- Las recomendaciones que se encuentran actualmente en versión preliminar se reemplazarán cuando la nueva recomendación esté disponible en versión preliminar.
¿Qué ocurre con la puntuación segura?
- Las recomendaciones que se encuentran actualmente en disponibilidad general seguirán afectando a la puntuación segura.
- Las recomendaciones actuales y las nuevas se encuentran bajo el mismo control de Microsoft Cloud Security Benchmark, lo que garantiza que no haya ningún impacto duplicado en la puntuación segura.
¿Cómo puedo preparar las nuevas recomendaciones?
- Asegúrese de que el examen de máquinas sin agente esté habilitado como parte de Defender para servidores Plan 2 o de CSPM de Defender.
- Si es adecuado para su entorno, y para obtener la mejor experiencia, se recomienda quitar las recomendaciones en desuso cuando la recomendación en disponibilidad general de reemplazo esté disponible. Para ello, deshabilite la recomendación en la iniciativa integrada de Defender for Cloud en Azure Policy.
Preparación de Defender para SQL en máquinas
Puede obtener más información sobre el plan de desuso del agente de Log Analytics de Defender para SQL Server en máquinas.
Si usa el proceso de aprovisionamiento automático actual del agente de Azure Monitor o del agente de Log Analytics, debe migrar al nuevo proceso de aprovisionamiento automático del Agente de Azure Monitor para SQL Server en máquinas. El proceso de migración se desarrolla sin contratiempos y ofrece protección continua para todas las máquinas.
Migrar al proceso de aprovisionamiento automático de AMA de destino de SQL Server
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Environment Settings.
Seleccione la suscripción correspondiente.
En el plan de bases de datos, seleccione Acción necesaria.
En la ventana emergente, seleccione Habilitar.
Seleccione Guardar.
Una vez habilitado el proceso de aprovisionamiento automático de AMA con destino SQL Server, debe deshabilitar el proceso de aprovisionamiento automático del agente de Log Analytics o del agente de Azure Monitor y desinstalar el MMA en todos los servidores SQL Server:
Para deshabilitar el agente de Log Analytics:
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Defender for Cloud.
En el menú de Defender for Cloud, seleccione Environment Settings.
Seleccione la suscripción correspondiente.
En el plan de base de datos, seleccione Configuración.
Cambie el agente de Log Analytics a Desactivado.
Seleccione Continuar.
Seleccione Guardar.
El planeamiento de la migración
Se recomienda planear la migración del agente de acuerdo con los requisitos empresariales. En la tabla se resumen nuestra guía.
| ¿Usa Defender para servidores? | ¿Estas características de Defender para servidores deben estar en disponibilidad general: supervisión de la integridad de los archivos, recomendaciones de protección de puntos de conexión, recomendaciones de línea de base de seguridad? | ¿Usa Defender para SQL Server en máquinas o la recopilación de registros de AMA? | Plan de migración |
|---|---|---|---|
| Sí | Sí | No | 1. Habilite la integración de Defender para punto de conexión y el examen de máquinas sin agente. 2. Espere a la disponibilidad general de todas las características con la plataforma alternativa (puede usar la versión preliminar anterior). 3. Una vez que las características estén en disponibilidad general, deshabilite el agente de Log Analytics. |
| No | --- | No | Ahora puede quitar el agente de Log Analytics. |
| No | --- | Sí | 1. Ahora puede migrar al aprovisionamiento automático de SQL para AMA. 2. Deshabilite el agente de Log Analytics o de Azure Monitor. |
| Sí | Sí | Sí | 1. Habilite la integración de Defender para punto de conexión y el examen de máquinas sin agente. 2. Puede usar el agente de Log Analytics y AMA en paralelo para obtener todas las características en disponibilidad general. Más información sobre la ejecución de los agentes en paralelo. 3. Migre al aprovisionamiento automático de SQL para AMA en Defender para SQL en máquinas. En abril de 2024, también podrá iniciar la migración desde el agente de Log Analytics a AMA. 4. Una vez finalizada la migración, deshabilite el agente de Log Analytics. |
| Sí | No | Sí | 1. Habilite la integración de Defender para punto de conexión y el examen de máquinas sin agente. 2. Ahora puede migrar al aprovisionamiento automático de SQL para AMA en Defender para SQL en máquinas. 3. Deshabilite el agente de Log Analytics. |