AMA-migratie voor Microsoft Sentinel
In dit artikel wordt het migratieproces naar de Azure Monitor-agent (AMA) beschreven wanneer u een bestaande Log Analytics-agent (MMA/OMS) hebt en werkt met Microsoft Sentinel.
Belangrijk
De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen.
Vereisten
Begin met de Azure Monitor-documentatie die een vergelijking van agents en algemene informatie biedt voor dit migratieproces.
Dit artikel bevat specifieke details en verschillen voor Microsoft Sentinel.
Gap-analyse tussen agents
In de volgende tabellen ziet u hiaatanalyses voor de logboektypen die momenteel afhankelijk zijn van gegevensverzameling op basis van agents voor Microsoft Sentinel. Dit wordt bijgewerkt naarmate de ondersteuning voor AMA toeneemt naar pariteit met de Log Analytics-agent.
Windows-logboeken
| Logboektype/ondersteuning | Ondersteuning voor Azure Monitor-agent | Ondersteuning voor Log Analytics-agent |
|---|---|---|
| Beveiligingsevenementen | Windows-beveiliging Gegevensconnector gebeurtenissen | Windows-beveiliging Gebeurtenisgegevensconnector (verouderd) |
| Filteren op beveiligings gebeurtenis-id | Windows-beveiliging Gebeurtenisgegevensconnector (AMA) | - |
| Filteren op gebeurtenis-id | Alleen verzameling | - |
| Windows Event Forwarding | Door Windows doorgestuurde gebeurtenissen | - |
| Windows Firewall-logboeken | - | Windows Firewall-gegevensconnector |
| Prestatiemeteritems | Alleen verzameling | Alleen verzameling |
| Windows-gebeurtenislogboeken (systeem) | Alleen verzameling | Alleen verzameling |
| Aangepaste logboeken (tekst) | Alleen verzameling | Alleen verzameling |
| IIS-logboeken | Alleen verzameling | Alleen verzameling |
| Multihoming | Alleen verzameling | Alleen verzameling |
| Toepassings- en servicelogboeken | Alleen verzameling | Alleen verzameling |
| Sysmon | Alleen verzameling | Alleen verzameling |
| DNS-logboeken | Windows DNS-servers via AMA-connector (openbare preview) | Windows DNS Server-connector (openbare preview) |
Belangrijk
De Azure Monitor-agent biedt een doorvoer die 25% beter is dan verouderde Log Analytics-agents. Migreer naar de nieuwe AMA-connectors om betere prestaties te krijgen, met name als u uw servers gebruikt als doorstuurservers voor Windows-beveiligingsgebeurtenissen of doorgestuurde gebeurtenissen.
Linux-logboeken
| Logboektype/ondersteuning | Ondersteuning voor Azure Monitor-agent | Ondersteuning voor Log Analytics-agent |
|---|---|---|
| Syslog | Alleen verzameling | Syslog-gegevensconnector |
| Common Event Format (CEF) | CEF via AMA-gegevensconnector | CEF-gegevensconnector |
| Sysmon | Alleen verzameling | Alleen verzameling |
| Aangepaste logboeken (tekst) | Alleen verzameling | Alleen verzameling |
| Multihoming | Alleen verzameling | - |
Aanbevolen migratieplan
Elke organisatie heeft verschillende metrische gegevens over succes en interne migratieprocessen. In deze sectie vindt u voorgestelde richtlijnen voor het migreren van de Log Analytics MMA/OMS-agent naar de AMA, met name voor Microsoft Sentinel.
Neem de volgende stappen op in uw migratieproces:
Zorg ervoor dat u de vereiste vereisten en andere overwegingen hebt gecontroleerd, zoals hier wordt beschreven in de Documentatie van Azure Monitor.
Voer een proof-of-concept uit om te testen hoe de AMA gegevens verzendt naar Microsoft Sentinel, idealiter in een ontwikkel- of sandboxomgeving.
Als u uw Windows-machines wilt verbinden met de Windows-beveiliging Gebeurtenisconnector, begint u met Windows-beveiliging gebeurtenissen via de pagina AMA-gegevensconnector in Microsoft Sentinel. Zie Windows-verbindingen op basis van agents voor meer informatie.
Ga naar de pagina Beveiligingsevenementen via een verouderde agentgegevensconnector . Selecteer op het tabblad Instructies, onder Configuratiestap> 2, welke gebeurtenissen moeten worden gestreamd, de optie Geen. Hiermee configureert u uw systeem zodat u geen beveiligingsevenementen ontvangt via de MMA/OMS, maar andere gegevensbronnen die afhankelijk zijn van deze agent, blijven werken. Deze stap is van invloed op alle computers die rapporteren aan uw huidige Log Analytics-werkruimte.
Belangrijk
Het opnemen van gegevens uit dezelfde bron met behulp van twee verschillende typen agents leidt tot dubbele opnamekosten en dubbele gebeurtenissen in de Microsoft Sentinel-werkruimte.
Als u beide gegevensconnectors tegelijkertijd wilt laten werken, raden we u aan dit alleen te doen voor een beperkte tijd voor een benchmarking of testvergelijkingsactiviteit, in het ideale voorbeeld in een afzonderlijke testwerkruimte.
Meet het succes van uw concept.
Voor hulp bij deze stap gebruikt u de werkmap AMA-migratietracker , waarin de servers worden weergegeven die aan uw werkruimten rapporteren en of de verouderde MMA, de AMA of beide agents zijn geïnstalleerd. U kunt deze werkmap ook gebruiken om de DCR's weer te geven die gebeurtenissen verzamelen van uw computers en welke gebeurtenissen ze verzamelen.
Voorbeeld:
Succescriteria moeten een statistische analyse en vergelijking bevatten van de kwantitatieve gegevens die zijn opgenomen door de MMA/OMS- en AMA-agents op dezelfde host:
Meet uw succes gedurende een vooraf gedefinieerde periode die een normale werkbelasting voor uw omgeving vertegenwoordigt.
Zorg er tijdens het testen voor dat u elke nieuwe functie test die wordt geleverd door de AMA, zoals Linux multihoming, Windows-gebeurtenisfiltering, enzovoort.
Plan uw implementatie voor AMA-agents in uw productieomgeving op basis van het risicoprofiel en de wijzigingsprocessen van uw organisatie.
Rol de nieuwe agent uit in uw productieomgeving en voer een laatste test uit van de AMA-functionaliteit.
Verbreek alle gegevensconnectors die afhankelijk zijn van de verouderde connector, zoals beveiligingsevenementen met MMA. Laat de nieuwe connector, zoals Windows-beveiliging Gebeurtenissen met AMA, actief.
Hoewel u zowel de verouderde MMA/OMS- als de AMA-agents parallel kunt laten uitvoeren, kunt u dubbele kosten en gegevens voorkomen door ervoor te zorgen dat elke gegevensbron slechts één agent gebruikt om gegevens naar Microsoft Sentinel te verzenden.
Controleer uw Microsoft Sentinel-werkruimte om ervoor te zorgen dat al uw gegevensstromen zijn vervangen met behulp van de nieuwe op AMA gebaseerde connectors.
Verwijder de verouderde agent. Zie De Azure Log Analytics-agent beheren voor meer informatie.
Veelgestelde vragen
De volgende veelgestelde vragen hebben betrekking op problemen die specifiek zijn voor AMA-migratie met Microsoft Sentinel. Zie ook de veelgestelde vragen over AMA-migratie en veelgestelde vragen over Azure Monitor Agent in de Documentatie van Azure Monitor voor meer informatie.
Wat gebeurt er als ik zowel MMA/OMS als AMA parallel uitvoer in mijn Microsoft Sentinel-implementatie?
Zowel de AMA- als MMA/OMS-agents kunnen naast elkaar bestaan op dezelfde computer. Als ze beide gegevens verzenden, van dezelfde gegevensbron naar een Microsoft Sentinel-werkruimte, worden er tegelijkertijd vanaf één host dubbele gebeurtenissen en dubbele opnamekosten in rekening gebracht.
Voor uw productie-implementatie raden we u aan een MMA/OMS-agent of de AMA voor elke gegevensbron te configureren. Raadpleeg de relevante veelgestelde vragen in de Documentatie van Azure Monitor om eventuele problemen voor duplicatie op te lossen.
De AMA beschikt nog niet over de functies die mijn Microsoft Sentinel-implementatie nodig heeft. Moet ik nog migreren?
De verouderde Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld.
We raden u aan om in de loop van de tijd up-to-date te blijven met de nieuwe functies die voor de AMA worden uitgebracht, omdat deze overeenkomt met de pariteit met de MMA/OMS. Migreer zodra de functies die u nodig hebt om uw Microsoft Sentinel-implementatie uit te voeren, beschikbaar zijn in de AMA.
Hoewel u de MMA en AMA tegelijk kunt uitvoeren, kunt u elke connector één voor één migreren terwijl beide agents worden uitgevoerd.
Volgende stappen
Zie voor meer informatie: