Migración de AMA para Microsoft Sentinel
En este artículo, se describe el proceso de migración al agente de Azure Monitor (AMA) cuando tiene un agente de Log Analytics (MMA/OMS) existente y trabaja con Microsoft Sentinel.
Importante
El agente de Log Analytics se retirará el 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, le recomendamos que empiece a planear la migración al AMA.
Requisitos previos
Comience con la documentación de Azure Monitor, que proporciona una comparación de agentes e información general para este proceso de migración.
En este artículo, se proporcionan detalles y diferencias específicos para Microsoft Sentinel.
Análisis de brechas entre agentes
En las tablas siguientes, se muestran análisis de brechas para los tipos de registro que actualmente se basan en la recopilación de datos basada en agente para Microsoft Sentinel. Esta información se actualizará a medida que la compatibilidad con AMA crezca hacia la paridad con el agente de Log Analytics.
Registros de Windows
| Tipo de registro / Soporte técnico | Compatibilidad con el agente de Azure Monitor | Compatibilidad con el agente de Log Analytics |
|---|---|---|
| Eventos de seguridad | Conector de datos de eventos de seguridad de Windows | Conector de datos de eventos de seguridad de Windows (heredado) |
| Filtrado por identificador de evento de seguridad | Conector de datos de eventos de seguridad de Windows (AMA) | - |
| Filtro por identificador de evento | Solo recopilación | - |
| Reenvío de eventos de Windows | Eventos reenviados de Windows | - |
| Registros del Firewall de Windows | - | Conector de datos del Firewall de Windows |
| Contadores de rendimiento | Solo recopilación | Solo recopilación |
| Registros de eventos de Windows (sistema) | Solo recopilación | Solo recopilación |
| Registros personalizados (texto) | Solo recopilación | Solo recopilación |
| Registros de IIS | Solo recopilación | Solo recopilación |
| Hospedaje múltiple | Solo recopilación | Solo recopilación |
| Registros de aplicaciones y servicios | Solo recopilación | Solo recopilación |
| Sysmon | Solo recopilación | Solo recopilación |
| Registros DNS | Servidores DNS de Windows a través del conector AMA (versión preliminar pública) | Conector del servidor DNS de Windows (versión preliminar pública) |
Importante
El agente de Azure Monitor proporciona un rendimiento que es un 25 % mejor que los agentes heredados de Log Analytics. Migre a los nuevos conectores AMA para obtener un mayor rendimiento, especialmente si usa los servidores como reenviadores de registros para eventos de seguridad de Windows o eventos reenviados.
Registros de Linux
| Tipo de registro / Soporte técnico | Compatibilidad con el agente de Azure Monitor | Compatibilidad con el agente de Log Analytics |
|---|---|---|
| Syslog | Solo recopilación | Conector de datos de Syslog |
| Formato de evento común (CEF) | CEF a través del conector de datos AMA | Conector de datos CEF |
| Sysmon | Solo recopilación | Solo recopilación |
| Registros personalizados (texto) | Solo recopilación | Solo recopilación |
| Hospedaje múltiple | Solo recopilación | - |
Plan de migración recomendado
Cada organización tendrá diferentes métricas de éxito y procesos de migración internos. En esta sección, se proporcionan instrucciones sugeridas que se deben tener en cuenta al migrar desde el agente de MMA/OMS de Log Analytics a AMA, específicamente para Microsoft Sentinel.
Incluya los pasos siguientes en el proceso de migración:
Asegúrese de que ha revisado los requisitos previos necesarios y otras consideraciones como se documenta aquí en la documentación de Azure Monitor.
Ejecute una prueba de concepto para probar cómo envía AMA los datos a Microsoft Sentinel, idealmente en un entorno de desarrollo o espacio aislado.
Para conectar las máquinas Windows al conector de eventos de seguridad de Windows, comience con la página del conector de datos de eventos de seguridad de Windows mediante AMA en Microsoft Sentinel. Para más información, consulte Conexiones basadas en agentes de Windows.
Vaya a la página del conector de datos de eventos de seguridad mediante el agente heredado. En la pestaña Instrucciones, en Configuración> Paso 2, Seleccione los eventos que se transmitirán, seleccione Ninguno. Esto configura el sistema para que no reciba ningún evento de seguridad mediante MMA/OMS, pero otros orígenes de datos que dependen de este agente seguirán funcionando. Este paso afecta a todas las máquinas que informan al área de trabajo actual de Log Analytics.
Importante
La ingesta de datos del mismo origen mediante dos tipos diferentes de agentes dará lugar a cargos por ingesta doble y eventos duplicados en el área de trabajo de Microsoft Sentinel.
Si tiene que mantener ambos conectores de datos en ejecución simultáneamente, se recomienda hacerlo solo durante un tiempo limitado para una prueba comparativa o una actividad de comparación de pruebas, idealmente en un área de trabajo de prueba independiente.
Mida el éxito de la prueba de concepto.
Para ayudar con este paso, use el libro Seguimiento de migración de AMA, que muestra los servidores que informan a las áreas de trabajo y si tienen instalado MMA heredado, AMA o ambos agentes. También puede usar este libro para ver los DCR que recopilan eventos de las máquinas y qué eventos recopilan.
Por ejemplo:
Los criterios de éxito deben incluir un análisis estadístico y una comparación de los datos cuantitativos ingeridos por los agentes MMA/OMS y AMA en el mismo host:
Mida el éxito durante un período de tiempo predefinido que represente una carga de trabajo normal para su entorno.
Durante las pruebas, asegúrese de probar cada nueva característica proporcionada por AMA, como el hospedaje múltiple de Linux, el filtrado de eventos de Windows, etc.
Planee el lanzamiento de los agentes AMA en el entorno de producción según el perfil de riesgo y los procesos de cambio de su organización.
Lleve a cabo el lanzamiento del nuevo agente en el entorno de producción y ejecute una prueba final de la funcionalidad de AMA.
Desconecte los conectores de datos que se basan en el conector heredado, como los eventos de seguridad con MMA. Deje en ejecución el nuevo conector, por ejemplo, los eventos de seguridad de Windows con AMA.
Aunque puede hacer que tanto los agentes MMA/OMS heredados como los agentes AMA se ejecuten en paralelo, evite los costos y los datos duplicados asegurándose de que cada origen de datos usa un solo agente para enviar datos a Microsoft Sentinel.
Compruebe el área de trabajo de Microsoft Sentinel para asegurarse de que todos los flujos de datos se hayan reemplazado con los nuevos conectores basados en AMA.
Desinstale el agente heredado. Para más información, consulte Administrar y mantener el agente de Log Analytics para Windows y Linux.
Preguntas más frecuentes
Las siguientes preguntas más frecuentes abordan problemas específicos de la migración de AMA con Microsoft Sentinel. Para más información, consulte también las preguntas más frecuentes sobre la migración de AMA y preguntas más frecuentes sobre el agente de Azure Monitor en la documentación de Azure Monitor.
¿Qué ocurre si se ejecutan MMA/OMS y AMA en paralelo en la implementación de Microsoft Sentinel?
Los agentes AMA y MMA/OMS pueden coexistir en la misma máquina. Si ambos envían datos desde el mismo origen de datos a un área de trabajo de Microsoft Sentinel al mismo tiempo desde un único host, se producirán eventos duplicados y cargos por la ingesta doble.
Para el lanzamiento de producción, se recomienda configurar un agente MMA/OMS o AMA para cada origen de datos. Para solucionar cualquier problema de duplicación, consulte las preguntas más frecuentes pertinentes en la documentación de Azure Monitor.
AMA aún no tiene las características que mi implementación de Microsoft Sentinel necesita para funcionar. ¿Aún así debo migrar?
El agente de Log Analytics heredado se retirará el 31 de agosto de 2024.
Se recomienda mantenerse al día con las nuevas características que se lanzan para AMA lo largo del tiempo, ya que alcanzará la paridad con MMA/OMS. El objetivo es migrar tan pronto como las características que necesita para ejecutar la implementación de Microsoft Sentinel estén disponibles en AMA.
Aunque puede ejecutar MMA y AMA simultáneamente, es posible que desee migrar cada conector, de uno en uno, mientras ejecuta ambos agentes.
Pasos siguientes
Para más información, consulte: