AMA-migratie voor Microsoft Sentinel

In dit artikel wordt het migratieproces naar de Azure Monitor Agent (AMA) beschreven wanneer u een bestaande Log Analytics-agent (MMA/OMS) hebt en werkt met Microsoft Sentinel.

Belangrijk

De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen.

Vereisten

Begin met de Azure Monitor-documentatie die een vergelijking van agents en algemene informatie biedt voor dit migratieproces.

Dit artikel bevat specifieke details en verschillen voor Microsoft Sentinel.

Gapanalyse tussen agents

In de volgende tabellen ziet u gapanalyses voor de logboektypen die momenteel afhankelijk zijn van gegevensverzameling op basis van agents voor Microsoft Sentinel. Dit wordt bijgewerkt naarmate de ondersteuning voor AMA toeneemt naar pariteit met de Log Analytics-agent.

Belangrijk

De AMA heeft momenteel een limiet van 5000 gebeurtenissen per seconde (EPS). Controleer of deze limiet werkt voor uw organisatie, met name als u uw servers gebruikt als doorstuurservers voor logboeken, zoals voor door Windows doorgestuurde gebeurtenissen of Syslog-gebeurtenissen.

Windows-logboeken

Logboektype/ondersteuning Ondersteuning voor Azure Monitor-agent Ondersteuning voor Log Analytics-agent
Beveiligingsevenementen Windows-beveiliging Gegevensconnector gebeurtenissen (openbare preview) Windows-beveiliging Gebeurtenisgegevensconnector (verouderd)
Filteren op beveiligings-gebeurtenis-id Windows-beveiliging Gebeurtenisgegevensconnector (AMA) (openbare preview) -
Filteren op gebeurtenis-id Alleen verzameling -
Windows Event Forwarding Doorgestuurde Windows-gebeurtenissen (openbare preview) -
Windows Firewall-logboeken - Windows Firewall-gegevensconnector
Prestatiemeteritems Alleen verzameling Alleen verzameling
Windows-gebeurtenislogboeken Alleen verzameling Alleen verzameling
Aangepaste logboeken Alleen verzameling Alleen verzameling
IIS-logboeken Alleen verzameling Alleen verzameling
Multihoming Alleen verzameling Alleen verzameling
Toepassings- en servicelogboeken - Alleen verzameling
Sysmon Alleen verzameling Alleen verzameling
DNS-logboeken - Alleen verzameling

Linux-logboeken

Logboektype/ondersteuning Ondersteuning voor Azure Monitor-agent Ondersteuning voor Log Analytics-agent
Syslog Alleen verzameling Syslog-gegevensconnector
Common Event Format (CEF) Alleen verzameling CEF-gegevensconnector
Sysmon Alleen verzameling Alleen verzameling
Aangepaste logboeken - Alleen verzameling
Multihoming Alleen verzameling -

Elke organisatie heeft verschillende metrische gegevens over succes en interne migratieprocessen. Deze sectie bevat voorgestelde richtlijnen die u kunt overwegen bij het migreren van de Log Analytics MMA/OMS-agent naar de AMA, met name voor Microsoft Sentinel.

Neem de volgende stappen op in uw migratieproces:

  1. Zorg ervoor dat u rekening hebt gehouden met uw omgevingsvereisten en begrijp de hiaten tussen de verschillende agents. Zie Wanneer moet ik migreren in de Documentatie van Azure Monitor voor meer informatie.

  2. Voer een proof-of-concept uit om te testen hoe de AMA gegevens naar Microsoft Sentinel verzendt, in het ideale instantie in een ontwikkel- of sandboxomgeving.

    1. Als u uw Windows-machines wilt verbinden met de Windows-beveiliging Gebeurtenisconnector, begint u met Windows-beveiliging gebeurtenissen via de pagina AMA-gegevensconnector in Microsoft Sentinel. Zie Windows-verbindingen op basis van agents voor meer informatie.

    2. Ga naar de pagina Beveiligingsevenementen via de verouderde agentgegevensconnector . Selecteer op het tabblad Instructies , onder Configuratiestap> 2, welke gebeurtenissen u wilt streamen, de optie Geen. Hiermee configureert u uw systeem zodat u geen beveiligingsevenementen ontvangt via de MMA/OMS, maar andere gegevensbronnen die afhankelijk zijn van deze agent, blijven werken. Deze stap is van invloed op alle computers die rapporteren aan uw huidige Log Analytics-werkruimte.

    Belangrijk

    Het opnemen van gegevens uit dezelfde bron met behulp van twee verschillende typen agents leidt tot dubbele opnamekosten en dubbele gebeurtenissen in de Microsoft Sentinel-werkruimte.

    Als u beide gegevensconnectors gelijktijdig wilt laten werken, raden we u aan dit alleen te doen voor een beperkte tijd voor een benchmarking of testvergelijkingsactiviteit, in het ideale voorbeeld in een afzonderlijke testwerkruimte.

  3. Meet het succes van uw concept.

    Voor hulp bij deze stap gebruikt u de AMA-migratietrackerwerkmap , die de servers weergeeft die aan uw werkruimten rapporteren en of de verouderde MMA, de AMA of beide agents zijn geïnstalleerd. U kunt deze werkmap ook gebruiken om de DCR's weer te geven die gebeurtenissen van uw machines verzamelen en welke gebeurtenissen ze verzamelen.

    Bijvoorbeeld:

    Schermopname van de AMA-migratietrackerwerkmap.

    Succescriteria moeten een statistische analyse en vergelijking bevatten van de kwantitatieve gegevens die zijn opgenomen door de MMA/OMS- en AMA-agents op dezelfde host:

    • Meet uw succes gedurende een vooraf gedefinieerde periode die een normale workload voor uw omgeving vertegenwoordigt.

    • Zorg er tijdens het testen voor dat u elke nieuwe functie van de AMA test, zoals Linux multihoming, Windows-gebeurtenisfiltering, enzovoort.

    • Plan uw implementatie voor AMA-agents in uw productieomgeving volgens het risicoprofiel en de wijzigingsprocessen van uw organisatie.

  4. De nieuwe agent implementeren in uw productieomgeving en een laatste test uitvoeren van de AMA-functionaliteit.

  5. Verbreek alle gegevensconnectors die afhankelijk zijn van de verouderde connector, zoals beveiligingsevenementen met MMA. Laat de nieuwe connector, zoals Windows-beveiliging Gebeurtenissen met AMA, actief.

    Hoewel u zowel de verouderde MMA/OMS- als de AMA-agents parallel kunt laten uitvoeren, kunt u dubbele kosten en gegevens voorkomen door ervoor te zorgen dat elke gegevensbron slechts één agent gebruikt om gegevens naar Microsoft Sentinel te verzenden.

  6. Controleer uw Microsoft Sentinel-werkruimte om ervoor te zorgen dat al uw gegevensstromen zijn vervangen met behulp van de nieuwe op AMA gebaseerde connectors.

  7. Verwijder de verouderde agent. Zie De Azure Log Analytics-agent beheren voor meer informatie.

Veelgestelde vragen

In de volgende veelgestelde vragen worden problemen opgelost die specifiek zijn voor AMA-migratie met Microsoft Sentinel. Zie ook de veelgestelde vragen over AMA-migratie in de Documentatie van Azure Monitor voor meer informatie.

Wat gebeurt er als ik zowel MMA/OMS als AMA parallel voer in mijn Microsoft Sentinel-implementatie?

Zowel de AMA- als MMA/OMS-agents kunnen naast elkaar bestaan op dezelfde computer. Als ze beide gegevens verzenden, van dezelfde gegevensbron naar een Microsoft Sentinel-werkruimte, worden er tegelijkertijd vanaf één host dubbele gebeurtenissen en dubbele opnamekosten in rekening gebracht.

Voor uw productie-implementatie raden we u aan een MMA/OMS-agent of de AMA voor elke gegevensbron te configureren. Raadpleeg de relevante veelgestelde vragen in de Documentatie van Azure Monitor om eventuele problemen voor duplicatie op te lossen.

De AMA beschikt nog niet over de functies die mijn Microsoft Sentinel-implementatie nodig heeft. Moet ik nog migreren?

De verouderde Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld.

We raden u aan om na verloop van tijd op de hoogte te blijven van de nieuwe functies die voor de AMA worden uitgebracht, omdat deze overeenkomt met pariteit met de MMA/OMS. Migreer zodra de functies die u nodig hebt om uw Microsoft Sentinel-implementatie uit te voeren, beschikbaar zijn in de AMA.

Hoewel u de MMA en AMA tegelijk kunt uitvoeren, kunt u elke connector één voor één migreren terwijl beide agents worden uitgevoerd.

Volgende stappen

Zie voor meer informatie: