Migração do AMA para o Microsoft Sentinel
Este artigo descreve o processo de migração para o AMA (agente do Azure Monitor) quando você tem um Agente do Log Analytics (MMA/OMS) existente e está trabalhando com o Microsoft Sentinel.
Importante
O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA.
Pré-requisitos
Comece com a documentação Azure Monitor, que fornece uma comparação de agente e informações gerais para esse processo de migração.
Este artigo fornece detalhes e diferenças específicos para o Microsoft Sentinel.
Análise de lacunas entre agentes
As tabelas a seguir mostram análises de lacuna para os tipos de log que atualmente dependem da coleta de dados baseada em agente para o Microsoft Sentinel. Elas serão atualizadas à medida que o suporte do AMA aumentar para estabelecer paridade com o agente do Log Analytics.
Logs do Windows
| Suporte/tipo de log | Suporte do agente do Azure Monitor | Suporte do agente do Log Analytics |
|---|---|---|
| Eventos de segurança | Conector de dados dos Eventos de Segurança do Windows | Conector de dados dos Eventos de Segurança do Windows (herdado) |
| Filtragem por ID do evento de segurança | Conector de dados dos Eventos de Segurança do Windows (AMA) | - |
| Filtragem por ID de evento | Somente coleta | - |
| Encaminhamento de Eventos do Windows | Eventos Encaminhados do Windows | - |
| Logs do firewall do Windows | - | Conector de dados do Firewall do Windows |
| Contadores de desempenho | Somente coleta | Somente coleta |
| Logs de eventos do Windows (sistema) | Somente coleta | Somente coleta |
| Logs personalizados (texto) | Somente coleta | Somente coleta |
| Logs do IIS | Somente coleta | Somente coleta |
| Hospedagem múltipla | Somente coleta | Somente coleta |
| Logs de aplicativo e serviço | Somente coleta | Somente coleta |
| Sysmon | Somente coleta | Somente coleta |
| Logs de DNS | Servidores DNS do Windows por meio do conector AMA (versão prévia pública) | Conector do Servidor DNS do Windows (versão prévia pública) |
Importante
O agente do Azure Monitor fornece uma taxa de transferência 25% melhor do que os agentes herdados do Log Analytics. Migre para os novos conectores AMA para obter melhor desempenho, especialmente se você estiver usando seus servidores como encaminhadores de log para eventos de segurança do Windows ou eventos encaminhados.
Logs do Linux
| Suporte/tipo de log | Suporte do agente do Azure Monitor | Suporte do agente do Log Analytics |
|---|---|---|
| Syslog | Somente coleta | Conector de dados do Syslog |
| CEF (Formato Comum de Evento) | CEF via conector de dados do AMA | Conector de dados do CEF |
| Sysmon | Somente coleta | Somente coleta |
| Logs personalizados (texto) | Somente coleta | Somente coleta |
| Hospedagem múltipla | Somente coleta | - |
Plano de migração recomendado
Cada organização terá diferentes métricas de sucesso e processos de migração internos. Esta seção fornece diretrizes sugeridas a serem consideradas ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para o Microsoft Sentinel.
Inclua as seguintes etapas em seu processo de migração:
Verifique se você examinou os pré-requisitos necessários e outras considerações, conforme documentado aqui na documentação do Azure Monitor.
Execute uma prova de conceito para testar como o AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou de área restrita.
Para conectar seus computadores Windows ao conector de Eventos de Segurança do Windows, comece com a página do conector de dados de Eventos de Segurança do Windows via AMA no Microsoft Sentinel. Para obter mais informações, confira Conexões baseadas em agente do Windows.
Acesse a página de conector de dados dos Eventos de Segurança via Agente Herdado. Na guia Instruções, em Configuração> Etapa 2, Selecione quais eventos transmitir, selecione Nenhum. Isso configura seu sistema para que você não receba nenhum evento de segurança por meio do MMA/OMS, mas outras fontes de dados que dependem desse agente continuarão a funcionar. Essa etapa afeta todos os computadores que se reportam ao seu workspace atual do Log Analytics.
Importante
A ingestão de dados da mesma fonte usando dois tipos diferentes de agentes resultará em cobranças de ingestão dupla e eventos duplicados no workspace do Microsoft Sentinel.
Se você precisar manter ambos os conectores de dados em execução simultaneamente, recomendamos que você faça isso apenas por um tempo limitado para uma atividade de comparação de parâmetros ou comparação de teste, idealmente em um workspace de teste separado.
Meça o sucesso de sua prova de conceito.
Para ajudar com essa etapa, use a pasta de trabalho do rastreador de migração do AMA, que exibe os servidores que relatam aos seus workspaces e mostram se eles têm o MMA herdado, o AMA ou ambos os agentes instalados. Você também pode usar essa guia de trabalho para exibir os DCRs que coletam eventos de seus computadores e quais eventos eles estão coletando.
Por exemplo:
Os critérios de sucesso devem incluir uma análise estatística e uma comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo host:
Meça seu sucesso em um período de tempo predefinido que representa uma carga de trabalho normal para seu ambiente.
Durante o teste, teste cada novo recurso fornecido pelo AMA, como multi-homing do Linux, filtragem de eventos do Windows e assim por diante.
Planeje sua adoção para agentes AMA em seu ambiente de produção de acordo com o perfil de risco e os processos de alteração da sua organização.
Distribua o novo agente para o seu ambiente de produção e execute um teste final da funcionalidade do AMA.
Desconecte todos os conectores de dados que dependem do conector herdado, como Eventos de Segurança com MMA. Deixe o novo conector, como Eventos de Segurança do Windows com AMA, em execução.
Embora você possa ter os agentes herdados AMA e MMA/OMS e AMA em execução em paralelo, evite custos e dados duplicados, fazendo com que cada fonte de dados use apenas um agente para enviar dados para o Microsoft Sentinel.
Verifique seu workspace do Microsoft Sentinel para verificar se todos os fluxos de dados foram substituídos usando os novos conectores baseados em AMA.
Desinstale o agente herdado. Para obter mais informações, confira Gerenciar o agente do Azure Log Analytics.
Perguntas frequentes
As perguntas frequentes a seguir abordam problemas específicos da migração do AMA com o Microsoft Sentinel. Para obter mais informações, consulte também as Perguntas frequentes sobre AMA de migração e Perguntas frequentes sobre Agente do Azure Monitor na documentação do Azure Monitor.
O que acontece se eu executar o MMA/OMS e o AMA em paralelo na minha implantação do Microsoft Sentinel?
Os agentes AMA e MMA/OMS podem coexistir no mesmo computador. Se ambos enviarem dados da mesma fonte de dados para um workspace do Microsoft Sentinel, ao mesmo tempo, de apenas um host, ocorrerão eventos duplicados e cobranças de ingestão dupla.
Para sua distribuição de produção, recomendamos que você configure um agente MMA/OMS ou AMA para cada fonte de dados. Para resolver problemas de duplicação, confira as perguntas frequentes relevantes na documentação do Azure Monitor.
O AMA ainda não tem os recursos de que minha implantação do Microsoft Sentinel precisa para funcionar. Eu já devo migrar?
O agente do Log Analytics será desativado em 31 de agosto de 2024.
Recomendamos que você se mantenha atualizado com os novos recursos que estão sendo lançados para o AMA ao longo do tempo, pois ele busca a paridade com o MMA/OMS. Busque migrar assim que os recursos que você precisa para executar sua implantação do Microsoft Sentinel estiverem disponíveis no AMA.
Embora seja possível executar o MMA e o AMA simultaneamente, talvez você queira migrar cada conector, um de cada vez, enquanto executa os dois agentes.
Próximas etapas
Para obter mais informações, consulte: