Migração da AMA para o Microsoft Sentinel

Este artigo descreve o processo de migração para o Agente monitor Azure (AMA) quando tem um Agente de Análise de Log (MMA/OMS) existente, e está a trabalhar com o Microsoft Sentinel.

Importante

O agente do Log Analytics será reformado a 31 de agosto de 2024. Se estiver a utilizar o agente Log Analytics na sua implementação microsoft Sentinel, recomendamos que comece a planear a sua migração para a AMA.

Pré-requisitos

Comece com a documentação do Azure Monitor que fornece uma comparação de agente e informações gerais para este processo de migração.

Este artigo fornece detalhes e diferenças específicas para o Microsoft Sentinel.

Análise de lacunas entre agentes

As tabelas a seguir mostram análises de lacunas para os tipos de registo que atualmente dependem da recolha de dados baseada em agentes para o Microsoft Sentinel. Isto será atualizado à medida que o suporte para a AMA cresce rumo à paridade com o agente Log Analytics.

Importante

A AMA tem atualmente um limite de 5.000 Eventos por Segundo (EPS). Verifique se este limite funciona para a sua organização, especialmente se estiver a utilizar os seus servidores como reencaminhadores de registo, tais como eventos reencaminhados do Windows ou eventos Syslog.

Registos do Windows

Tipo de registo / Suporte Suporte ao agente do Azure Monitor Suporte ao agente log Analytics
Eventos de Segurança conector de dados Segurança do Windows Eventos (visualização pública) conector de dados Segurança do Windows Eventos (Legado)
Filtragem por ID do evento de segurança Segurança do Windows O conector de dados de eventos (AMA) (visualização pública) -
Filtragem por ID do evento Apenas coleção -
Reencaminhamento de Eventos do Windows Eventos Reencaminhados do Windows (Visualização pública) -
Registos de firewall do Windows - Conector de dados do Windows Firewall
Contadores de desempenho Apenas coleção Apenas coleção
Registos de eventos do Windows Apenas coleção Apenas coleção
Registos personalizados Apenas coleção Apenas coleção
Registos do IIS Apenas coleção Apenas coleção
Multi-homing Apenas coleção Apenas coleção
Registos de aplicações e serviços - Apenas coleção
Sysmon Apenas coleção Apenas coleção
Registos DNS - Apenas coleção

Troncos linux

Tipo de registo / Suporte Suporte ao agente do Azure Monitor Suporte ao agente log Analytics
Syslog Apenas coleção Conector de dados Syslog
Common Event Format (CEF) Apenas coleção Conector de dados CEF
Sysmon Apenas coleção Apenas coleção
Registos personalizados - Apenas coleção
Multi-homing Apenas coleção -

Cada organização terá diferentes métricas de sucesso e processos de migração interna. Esta secção fornece orientações sugeridas para considerar quando migrar do agente MMA/OMS do Log Analytics para a AMA, especificamente para o Microsoft Sentinel.

Inclua os seguintes passos no seu processo de migração:

  1. Certifique-se de que considerou os seus requisitos ambientais e compreende as lacunas entre os diferentes agentes. Para obter mais informações, consulte Quando devo migrar na documentação do Monitor Azure.

  2. Executar uma prova de conceito para testar como a AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou caixa de areia.

    1. Para ligar as suas máquinas Windows ao conector Segurança do Windows Event, comece com Segurança do Windows Eventos através da página do conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte as ligações baseadas em agentes do Windows.

    2. Aceda aos Eventos de Segurança através da página do conector de dados do Agente Legado. No separador Instruções , no passo de configuração> 2, selecione quais os eventos a transmitir, selecione Nenhum. Isto configura o seu sistema para que não receba quaisquer eventos de segurança através do MMA/OMS, mas outras fontes de dados que dependem deste agente continuarão a funcionar. Este passo afeta todas as máquinas que reportam ao seu espaço de trabalho atual do Log Analytics.

    Importante

    Ingerir dados da mesma fonte utilizando dois tipos diferentes de agentes resultará em duplos encargos de ingestão e eventos duplicados no espaço de trabalho do Microsoft Sentinel.

    Se precisar de manter ambos os conectores de dados em funcionamento simultaneamente, recomendamos que o faça apenas por um tempo limitado para uma atividade de benchmarking, ou de comparação de testes, idealmente num espaço de trabalho de teste separado.

  3. Meça o sucesso da sua prova de conceito.

    Para ajudar neste passo, utilize o manual de rastreio de migração AMA , que exibe os servidores que reportam aos seus espaços de trabalho, e se têm o legado MMA, a AMA ou ambos os agentes instalados. Também pode utilizar este livro para visualizar os DCRs que recolhem eventos das suas máquinas e quais os eventos que estão a recolher.

    Por exemplo:

    Screenshot do manual de migração da AMA.

    Os critérios de sucesso devem incluir uma análise estatística e comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo anfitrião:

    • Meça o seu sucesso durante um período de tempo predefinido que representa uma carga de trabalho normal para o seu ambiente.

    • Durante os testes, certifique-se de testar cada nova funcionalidade fornecida pela AMA, como linux multi-homing, filtragem de eventos Windows, e assim por diante.

    • Planeie o seu lançamento para agentes AMA no seu ambiente de produção de acordo com o perfil de risco da sua organização e altere os processos.

  4. Lance o novo agente no seu ambiente de produção e escode um teste final da funcionalidade AMA.

  5. Desligue quaisquer conectores de dados que dependam do conector legado, tais como Eventos de Segurança com MMA. Deixe o novo conector, como Segurança do Windows Eventos com AMA, em execução.

    Embora possa ter tanto o legado MMA/OMS como os agentes ama em execução em paralelo, evite duplicados custos e dados, certificando-se de que cada fonte de dados utiliza apenas um agente para enviar dados para o Microsoft Sentinel.

  6. Verifique o seu espaço de trabalho microsoft Sentinel para se certificar de que todos os seus fluxos de dados foram substituídos utilizando os novos conectores baseados em AMA.

  7. Desinstale o agente legado. Para obter mais informações, consulte Gerir o agente Azure Log Analytics .

FAQs

As seguintes FAQs abordam questões específicas da migração da AMA com o Microsoft Sentinel. Para mais informações, consulte também as perguntas frequentes sobre a migração da AMA na documentação do Azure Monitor.

O que acontece se eu executar MMA/OMS e AMA em paralelo na minha implementação Microsoft Sentinel?

Tanto os agentes AMA como os agentes MMA/OMS podem coexistir na mesma máquina. Se ambos enviarem dados, da mesma fonte de dados para um espaço de trabalho do Microsoft Sentinel, ao mesmo tempo, de um único anfitrião, ocorrerão eventos duplicados e taxas de ingestão dupla.

Para o seu lançamento de produção, recomendamos que configuure um agente MMA/OMS ou a AMA para cada fonte de dados. Para resolver quaisquer questões de duplicação, consulte as FAQs relevantes na documentação do Monitor Azure.

A AMA ainda não tem as funcionalidades que a minha implementação do Microsoft Sentinel precisa de funcionar. Já devo migrar?

O antigo agente da Log Analytics será reformado a 31 de agosto de 2024.

Recomendamos que mantenha-se atualizado com as novas funcionalidades que serão lançadas para a AMA ao longo do tempo, uma vez que se aproxima da paridade com o MMA/OMS. O objetivo é migrar assim que as funcionalidades que precisa para executar a sua implementação Microsoft Sentinel estejam disponíveis na AMA.

Enquanto pode executar o MMA e AMA simultaneamente, é melhor migrar cada conector, um de cada vez, enquanto executa ambos os agentes.

Passos seguintes

Para obter mais informações, consulte: