Подготовка к выходу агента Log Analytics
Агент Log Analytics, также известный как Microsoft Monitoring Agent (MMA), уходит в отставку в августе 2024 года. В результате планы Defender для серверов и Defender для SQL на компьютерах в Microsoft Defender для облака будут обновлены, а функции, использующие агент Log Analytics, будут изменены.
В этой статье приведены планы выхода агента на пенсию.
Подготовка Defender для серверов
План Defender для серверов использует агент Log Analytics в общедоступной версии и в AMA для некоторых функций (в предварительной версии). Вот что происходит с этими функциями:
Чтобы упростить подключение, все функции безопасности и возможности Defender для серверов будут предоставлены одним агентом (Microsoft Defender для конечной точки), дополнены сканированием без агента без каких-либо зависимостей от агента Log Analytics или AMA. Обратите внимание, что:
- Функции Defender для серверов, основанные на AMA, в настоящее время находятся в предварительной версии и не будут выпущены в общедоступной версии.
- Функции в предварительной версии, основанные на AMA, остаются поддерживаемыми до тех пор, пока не будет предоставлена альтернативная версия функции, которая будет полагаться на интеграцию Defender для конечной точки или функцию сканирования без агента.
- Включив функцию интеграции Defender для конечной точки и функции сканирования без агента перед прекращением использования, развертывание Defender для серверов будет обновлено и поддерживается.
Функциональные возможности функций
В следующей таблице приведены сведения о том, как будут предоставляться функции Defender для серверов. Большинство функций уже общедоступны с помощью интеграции Defender для конечной точки или сканирования без агента. Остальные функции будут доступны в общедоступной версии до истечения срока действия MMA или будут устаревшими.
| Функция | Текущая поддержка | Новая поддержка | Состояние нового интерфейса |
|---|---|---|---|
| Интеграция Defender для конечной точки для компьютеров с Windows нижнего уровня (Windows Server 2016/2012 R2) | Устаревший датчик Defender для конечной точки на основе агента Log Analytics | Интеграция единого агента | — функциональные возможности единого агента — это общедоступная версия. — Функции с устаревшим датчиком Defender для конечной точки с помощью агента Log Analytics будут устарели в августе 2024 года. |
| Обнаружение угроз на уровне ОС | Агент Log Analytics | Интеграция агента Defender для конечной точки | Функциональные возможности агента Defender для конечной точки — это общедоступная версия. |
| Адаптивные элементы управления приложениями | Агент Log Analytics (GA), AMA (предварительная версия) | --- | Функция адаптивного управления приложениями не рекомендуется использовать в августе 2024 года. |
| Рекомендации по обнаружению endpoint protection | Рекомендации, доступные с помощью плана управления posture (CSPM) Foundational Cloud Security и Defender для серверов с помощью агента Log Analytics (GA), AMA (предварительная версия) | Сканирование без агента | — Функции с сканированием без агента будут выпущены для предварительной версии в феврале 2024 года в рамках плана Defender для серверов 2 и плана CSPM Defender. — Виртуальные машины Azure, экземпляры Google Cloud Platform (GCP) и экземпляры Amazon Web Services (AWS) будут поддерживаться. Локальные компьютеры не будут поддерживаться. |
| Отсутствует рекомендация по обновлению ОС | Рекомендации доступны в планах Foundational CSPM и Defender для серверов с помощью агента Log Analytics. | Интеграция с Update Manager, Майкрософт | Новые рекомендации, основанные на интеграции с Azure Update Manager, являются общедоступной версией без зависимостей агента. |
| Неправильно настроенные ос (Microsoft Cloud Security Benchmark) | Рекомендации, доступные через планы Foundational CSPM и Defender для серверов с помощью агента Log Analytics, агента гостевой конфигурации (предварительная версия). | Управление уязвимостями Microsoft Defender premium в составе Плана 2 Defender для серверов. | — Функциональные возможности на основе интеграции с Управление уязвимостями Microsoft Defender premium будут доступны в предварительной версии около апреля 2024 года. — Функции с агентом Log Analytics будут устаревшими в августе 2024 г. — функции с агентом гостевой конфигурации (предварительная версия) будут нерекомендуемы, когда Управление уязвимостями Microsoft Defender доступен. — Поддержка этой функции для Docker-hub и Azure Масштабируемые наборы виртуальных машин будет прекращена в августе 2024 года. |
| Мониторинг целостности файлов | Агент Log Analytics, AMA (предварительная версия) | Интеграция агента Defender для конечной точки | Функции с агентом Defender для конечной точки будут доступны около апреля 2024 года. — Функции с агентом Log Analytics будут устарели в августе 2024 года. — функции с AMA нерекомендуются при выпуске интеграции Defender для конечной точки. |
Преимущество 500-МБ приема данных по определенным таблицам по-прежнему поддерживается с помощью агента AMA для компьютеров в подписках, охваченных Defender для серверов плана 2. Каждый компьютер имеет право только один раз, даже если агент Log Analytics и агент Azure Monitor установлены на нем. Узнайте больше о том, как развернуть AMA.
Для серверов SQL на компьютерах рекомендуется выполнить миграцию в процесс автоматической подготовки агента мониторинга Azure (AMA) с целевым сервером SQL Server.
Рекомендации по защите конечных точек — рекомендации по изменениям и миграции
Обнаружение и рекомендации конечных точек в настоящее время предоставляются Defender для облака Foundational CSPM и планами Defender для серверов с помощью агента Log Analytics в общедоступной версии или в предварительной версии через AMA. Этот интерфейс будет заменен рекомендациями по безопасности, собранными с помощью сканирования без агента.
Рекомендации по защите конечных точек создаются на двух этапах. Первым этапом является обнаружение решения обнаружение и нейтрализация атак на конечные точки. Второй — оценка конфигурации решения. В следующих таблицах приведены сведения о текущих и новых возможностях для каждого этапа.
Узнайте, как управлять новыми рекомендациями обнаружение и нейтрализация атак на конечные точки (без агента).
Решение обнаружения и реагирования конечных точек — обнаружение
| Площадь | Текущий опыт (на основе AMA/MMA) | Новый интерфейс (на основе сканирования без агента) |
|---|---|---|
| Что необходимо для классификации ресурса как работоспособного? | На месте находится антивирусная программа. | Решение обнаружение и нейтрализация атак на конечные точки выполняется. |
| Что необходимо для получения рекомендации? | Агент Log Analytics | Сканирование без агента |
| Какие планы поддерживаются? | - Базовый CSPM (бесплатный) — Defender для серверов плана 1 и плана 2 |
— CSPM в Защитнике — Defender для серверов плана 2 |
| Какое исправление доступно? | Установите антивредоносную программу Майкрософт. | Установите Defender для конечной точки на выбранных компьютерах или подписках. |
Решение для обнаружения и реагирования конечных точек — оценка конфигурации
| Площадь | Текущий опыт (на основе AMA/MMA) | Новый интерфейс (на основе сканирования без агента) |
|---|---|---|
| Ресурсы классифицируются как неработоспособные, если одна или несколько проверка безопасности не работоспособны. | Три проверка безопасности: — защита в режиме реального времени отключена — Подписи устарели. — Быстрая проверка и полная проверка не выполняются в течение семи дней. |
Три проверка безопасности: — антивирусная программа отключена или частично настроена — Подписи устарели — Быстрая проверка и полная проверка не выполняются в течение семи дней. |
| Предварительные требования для получения рекомендации | Решение для защиты от вредоносных программ | Решение обнаружение и нейтрализация атак на конечные точки на месте. |
Какие рекомендации устарели?
В следующей таблице приводится сводка расписания устаревших рекомендаций и их замены.
Новые рекомендации , основанные на сканировании без агента, поддерживают ос Windows и Linux на нескольких компьютерах.
Как будет работать замена?
- Текущие рекомендации, предоставляемые агентом Log Analytics или AMA, будут устарели с течением времени.
- Некоторые из этих существующих рекомендаций будут заменены новыми рекомендациями на основе сканирования без агента.
- Рекомендации в настоящее время в общедоступной версии остаются на месте до тех пор, пока агент Log Analytics не будет удален.
- Рекомендации, которые в настоящее время находятся в предварительной версии, будут заменены, когда новая рекомендация доступна в предварительной версии.
Что происходит с оценкой безопасности?
- Рекомендации, которые в настоящее время находятся в общедоступной версии, будут по-прежнему влиять на оценку безопасности.
- Текущие и предстоящие новые рекомендации находятся под тем же элементом управления Microsoft Cloud Security Benchmark, что гарантирует отсутствие дубликата влияния на оценку безопасности.
Разделы справки подготовиться к новым рекомендациям?
- Убедитесь, что сканирование компьютеров без агента включено в составе плана 2 или CSPM Defender для серверов.
- Если это подходит для вашей среды, рекомендуется удалить устаревшие рекомендации, когда будет доступна рекомендация по замене общедоступной версии. Для этого отключите рекомендацию в встроенной Defender для облака инициативы в Политика Azure.
Мониторинг целостности файлов — рекомендации по изменению и миграции
План 2 плана 2 в Microsoft Defender для серверов теперь предлагает новое решение для мониторинга целостности файлов (FIM), созданное с помощью интеграции Microsoft Defender для конечной точки (MDE). После того как FIM на базе MDE является общедоступным, интерфейс FIM, управляемый AMA на портале Defender для облака, будет удален. В октябре FIM, на базе MMA, не рекомендуется.
Миграция из FIM через AMA
Если вы используете FIM в настоящее время через AMA:
Подключение новых подписок или серверов к FIM на основе AMA и расширения отслеживания изменений, а также просмотр изменений больше не будет доступно через портал Defender для облака начиная с 30 мая.
Если вы хотите продолжить использование событий FIM, собранных AMA, можно вручную подключиться к соответствующей рабочей области и просмотреть изменения в таблице Отслеживание изменений со следующим запросом:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeЕсли вы хотите продолжить подключение новых область или настроить правила мониторинга, можно вручную использовать правила Подключение ion для настройки или настройки различных аспектов сбора данных.
Microsoft Defender для облака рекомендует отключить FIM через AMA и подключить среду к новой версии FIM на основе Defender для конечной точки после выпуска.
Отключение FIM через AMA
Чтобы отключить FIM через AMA, удалите решение Azure Отслеживание изменений. Дополнительные сведения см. в разделе "Удаление решения ChangeTracking".
Кроме того, можно удалить связанные правила отслеживания изменений файлов (DCR). Дополнительные сведения см. в разделе Remove-AzDataCollectionRuleAssociation или Remove-AzDataCollectionRule.
После отключения коллекции событий файлов с помощью одного из описанных выше методов:
- Новые события перестают собираться на выбранном область.
- Исторические события, которые уже были собраны, сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе Отслеживание изменений. Эти события останутся доступными в соответствующей рабочей области в соответствии с периодом хранения, определенным в этой рабочей области. Дополнительные сведения см. в статье о работе хранения и архивации.
Миграция из FIM через агент Log Analytics (MMA)
Если вы используете FIM в агенте Log Analytics (MMA):
- Мониторинг целостности файлов на основе агента Log Analytics (MMA) не рекомендуется использовать в октябре 2024 года.
- Microsoft Defender для облака рекомендует отключить FIM через MMA и подключить среду к новой версии FIM на основе Defender для конечной точки после выпуска.
Отключение FIM через MMA
Чтобы отключить FIM через MMA, удалите решение Azure Отслеживание изменений. Дополнительные сведения см. в разделе "Удаление решения ChangeTracking".
После отключения коллекции событий файлов:
- Новые события перестают собираться на выбранном область.
- Исторические события, которые уже были собраны, сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе Отслеживание изменений. Эти события останутся доступными в соответствующей рабочей области в соответствии с периодом хранения, определенным в этой рабочей области. Дополнительные сведения см. в статье о работе хранения и архивации.
Подготовка Defender для SQL на компьютерах
Дополнительные сведения о нерекомендуемом плане агента Log Analytics в Defender для SQL Server можно узнать.
Если вы используете текущий агент Log Analytics или процесс автоматической подготовки агента Azure Monitor, необходимо перейти к новому агенту мониторинга Azure для SQL Server на компьютерах, выполняющих автоматическую подготовку. Процесс миграции является простым и обеспечивает непрерывную защиту для всех компьютеров.
Миграция на процесс автоматической подготовки AMA с целевым сервером SQL Server
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите соответствующую подписку.
В разделе "Базы данных" выберите "Действие", необходимое.
Во всплывающем окне нажмите кнопку "Включить".
Выберите Сохранить.
После включения автоматической подготовки AMA для SQL Server необходимо отключить процесс автоматической подготовки агента Log Analytics или агента Azure Monitor и удалить MMA на всех серверах SQL:
Чтобы отключить агент Log Analytics, выполните следующие действия.
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите соответствующую подписку.
В разделе плана базы данных выберите Параметры.
Переключите агент Log Analytics на off.
Выберите Продолжить.
Выберите Сохранить.
Планирование миграции
Рекомендуется планировать миграцию агента в соответствии с вашими бизнес-требованиями. В таблице приведены наши рекомендации.
| Вы используете Defender для серверов? | Требуются ли эти функции Defender для серверов в общедоступной версии: мониторинг целостности файлов, рекомендации по защите конечных точек, базовые рекомендации по безопасности? | Вы используете Defender для серверов SQL на компьютерах или в коллекции журналов AMA? | План миграции |
|---|---|---|---|
| Да | Да | Нет | 1. Включите интеграцию Defender для конечной точки и сканирование без агента. 2. Подождите общедоступную версию всех функций с помощью платформы альтернативы (можно использовать предварительную версию ранее). 3. После того как функции являются общедоступными, отключите агент Log Analytics. |
| No | --- | No | Теперь можно удалить агент Log Analytics. |
| No | --- | Да | 1. Теперь вы можете перейти на автоматическую подготовку SQL для AMA . 2. Отключите Агент Log Analytics/Azure Monitor. |
| Да | Да | Да | 1. Включите интеграцию Defender для конечной точки и сканирование без агента. 2. Агент Log Analytics и AMA можно использовать параллельно для получения всех функций в общедоступной версии. Узнайте больше о выполнении агентов параллельно. 3. Миграция на автоматическую подготовку SQL для AMA в Defender для SQL на компьютерах. Кроме того, запустите миграцию агента Log Analytics в AMA в апреле 2024 года. 4. После завершения миграции отключите агент Log Analytics. |
| Да | No | Да | 1. Включите интеграцию Defender для конечной точки и сканирование без агента. 2. Вы можете перейти на автоматическую подготовку SQL для AMA в Defender для SQL на компьютерах. 3. Отключите агент Log Analytics. |