Log Analytics aracısını kullanımdan kaldırmaya hazırlanma
Microsoft Monitoring Agent (MMA) olarak da bilinen Log Analytics aracısı Ağustos 2024'te emekli oluyor. Sonuç olarak, Bulut için Microsoft Defender'daki makine planlarında Sunucular için Defender ve SQL için Defender güncelleştirilir ve Log Analytics aracısını kullanan özellikler yeniden tasarlanır.
Bu makalede, aracı kullanımdan kaldırma planları özetlemektedir.
Sunucular için Defender'ın hazırlanması
Sunucular için Defender planı, bazı özellikler (önizlemede) için Log Analytics aracısını genel kullanılabilirlik (GA) ve AMA'da kullanır. İleride bu özelliklerle ilgili neler olduğu aşağıdadır:
Ekleme işlemini basitleştirmek için tüm Sunucular için Defender güvenlik özellikleri ve özellikleri, Log Analytics aracısı veya AMA'ya bağımlılık olmadan aracısız makine taramasıyla tamamlanan tek bir aracı (Uç Nokta için Microsoft Defender) ile sağlanacaktır. Şunlara dikkat edin:
- AMA'yı temel alan Sunucular için Defender özellikleri şu anda önizleme aşamasındadır ve GA'da yayımlanmaz.
- Önizlemede AMA kullanan özellikler, uç nokta için Defender tümleştirmesine veya aracısız makine tarama özelliğine bağlı olacak alternatif bir özellik sağlanana kadar desteklenmeye devam eder.
- Kullanımdan kaldırma gerçekleşmeden önce Uç Nokta için Defender tümleştirmesi ve aracısız makine tarama özelliğini etkinleştirerek, Sunucular için Defender dağıtımınız güncel ve desteklenecektir.
Özellik işlevselliği
Aşağıdaki tabloda Sunucular için Defender özelliklerinin nasıl sağlanacağı özetlenmiştir. Çoğu özellik, Uç Nokta için Defender tümleştirmesi veya aracısız makine taraması kullanılarak genel kullanıma sunulmuştur. Diğer özellikler, MMA kullanımdan kaldırılana kadar GA'da kullanılabilir veya kullanım dışı bırakılacaktır.
| Özellik | Geçerli destek | Yeni destek | Yeni deneyim durumu |
|---|---|---|---|
| Alt düzey Windows makineleri için Uç Nokta için Defender tümleştirmesi (Windows Server 2016/2012 R2) | Log Analytics aracısını temel alan Uç Nokta için Eski Defender algılayıcısı | Birleşik aracı tümleştirmesi | - Birleşik aracı ile işlevsellik GA'dır. - Log Analytics aracısını kullanan eski Uç Nokta için Defender algılayıcısının işlevselliği Ağustos 2024'te kullanım dışı bırakılacaktır. |
| İşletim sistemi düzeyinde tehdit algılama | Log Analytics aracısı | Uç Nokta için Defender aracısı tümleştirmesi | Uç Nokta için Defender aracısının işlevselliği GA'dır. |
| Uyarlamalı uygulama denetimleri | Log Analytics aracısı (GA), AMA (Önizleme) | --- | Uyarlamalı uygulama denetimi özelliği Ağustos 2024'te kullanımdan kaldırılacak şekilde ayarlanmıştır. |
| Uç nokta koruma bulma önerileri | Log Analytics aracısı (GA), AMA (Önizleme) kullanılarak Temel Bulut Güvenliği Duruş Yönetimi (CSPM) planı ve Sunucular için Defender aracılığıyla kullanılabilen Öneriler | Aracısız makine tarama | - Aracısız makine tarama işlevselliği, Sunucular için Defender Plan 2 ve Defender CSPM planının bir parçası olarak Şubat 2024'te önizlemeye sunulacaktır. - Azure VM'leri, Google Cloud Platform (GCP) örnekleri ve Amazon Web Services (AWS) örnekleri desteklenecektir. Şirket içi makineler desteklenmez. |
| eksik işletim sistemi güncelleştirme önerisi | Öneriler Log Analytics aracısını kullanarak Temel CSPM ve Sunucular için Defender planlarında kullanılabilir. | Update Manager, Microsoft ile tümleştirme | Azure Update Manager tümleştirmesini temel alan yeni öneriler ga'dır ve aracı bağımlılıkları yoktur. |
| İşletim sistemi yanlış yapılandırmaları (Microsoft Bulut Güvenliği Karşılaştırması) | Log Analytics aracısı, Konuk Yapılandırma aracısı (Önizleme) kullanılarak Temel CSPM ve Sunucular için Defender planları aracılığıyla kullanılabilen Öneriler. | Sunucular için Defender Plan 2'nin bir parçası olarak premium Microsoft Defender Güvenlik Açığı Yönetimi. | - Microsoft Defender Güvenlik Açığı Yönetimi premium ile tümleştirmeye dayalı işlevsellik Nisan 2024'te önizleme aşamasında kullanıma sunulacaktır. - Log Analytics aracısının işlevselliği Ağustos 2024'te kullanımdan kaldırılacak - Microsoft Defender Güvenlik Açığı Yönetimi kullanılabilir olduğunda Konuk Yapılandırma aracısı (Önizleme) işlevselliği kullanımdan kaldırılacaktır. - Docker-hub ve Azure Sanal Makine Ölçek Kümeleri için bu özelliğin desteği Ağustos 2024'te kullanım dışı bırakılacaktır. |
| Dosya bütünlüğünü izleme | Log Analytics aracısı, AMA (Önizleme) | Uç Nokta için Defender aracısı tümleştirmesi | Uç Nokta için Defender aracısının işlevselliği Nisan 2024'te kullanıma sunulacaktır. - Log Analytics aracısının işlevselliği Ağustos 2024'te kullanım dışı bırakılacaktır. - Uç Nokta için Defender tümleştirmesi kullanıma sunulduğunda AMA işlevi kullanımdan kaldırılacaktır. |
Tanımlı tablolar üzerinden veri alımı için 500 MB'lık avantaj, Sunucular için Defender Plan 2 kapsamındaki abonelikler kapsamındaki makineler için AMA aracısı aracılığıyla desteklenmeye devam eder. Hem Log Analytics aracısı hem de Azure İzleyici aracısı yüklü olsa bile her makine yalnızca bir kez avantajdan yararlanabilir. AMA dağıtma hakkında daha fazla bilgi edinin.
Makinelerdeki SQL sunucuları için SQL server tarafından hedeflenen Azure İzleme Aracısı'nın (AMA) otomatik sağlama işlemine geçmenizi öneririz.
Uç nokta koruma önerileri deneyimi - değişiklikler ve geçiş kılavuzu
Uç nokta bulma ve öneriler şu anda Bulut için Defender Foundational CSPM ve Sunucular için Defender planları tarafından GA'da Log Analytics aracısını kullanarak veya AMA aracılığıyla önizleme aşamasında sunulmaktadır. Bu deneyim, aracısız makine taraması kullanılarak toplanan güvenlik önerileriyle değiştirilecektir.
Uç nokta koruma önerileri iki aşamada oluşturulur. İlk aşama, uç noktada algılama ve yanıtlama bir çözümün bulunmasıdır. İkincisi, çözümün yapılandırmasının değerlendirmesidir. Aşağıdaki tablolarda her aşama için geçerli ve yeni deneyimlerin ayrıntıları sağlanır.
Yeni uç noktada algılama ve yanıtlama önerilerini (aracısız) yönetmeyi öğrenin.
Uç nokta algılama ve yanıt çözümü - bulma
| Alan | Geçerli deneyim (AMA/MMA tabanlı) | Yeni deneyim (aracısız makine taramayı temel alır) |
|---|---|---|
| Bir kaynağı sağlıklı olarak sınıflandırmak için ne gerekir? | Bir virüsten koruma var. | Bir uç noktada algılama ve yanıtlama çözümü var. |
| Öneriyi almak için ne gereklidir? | Log Analytics aracısı | Aracısız makine tarama |
| Hangi planlar desteklenir? | - Temel CSPM (ücretsiz) - Sunucular için Defender Plan 1 ve Plan 2 |
- Defender CSPM - Sunucular için Defender Plan 2 |
| Hangi düzeltme kullanılabilir? | Microsoft kötü amaçlı yazılımdan korumayı yükleyin. | Seçili makinelere/aboneliklere Uç Nokta için Defender'ı yükleyin. |
Uç nokta algılama ve yanıt çözümü - yapılandırma değerlendirmesi
| Alan | Geçerli deneyim (AMA/MMA tabanlı) | Yeni deneyim (aracısız makine taramayı temel alır) |
|---|---|---|
| Bir veya daha fazla güvenlik denetimi iyi durumda değilse kaynaklar iyi durumda değil olarak sınıflandırılır. | Üç güvenlik denetimi: - Gerçek zamanlı koruma kapalı - İmzalar güncel değil. - Hem hızlı tarama hem de tam tarama yedi gün boyunca çalıştırılamaz. |
Üç güvenlik denetimi: - Virüsten koruma kapalı veya kısmen yapılandırılmış - İmzalar güncel değil - Hem hızlı tarama hem de tam tarama yedi gün boyunca çalıştırılamaz. |
| Öneriyi almak için önkoşullar | Kötü amaçlı yazılımdan koruma çözümü mevcut | Bir uç noktada algılama ve yanıtlama çözümü var. |
Hangi öneriler kullanım dışı bırakılıyor?
Aşağıdaki tabloda, kullanım dışı bırakılan ve değiştirilen öneriler için zaman çizelgesi özetlenmiştir.
| Öneri | Aracı | Desteklenen kaynaklar | Kullanım dışı bırakma tarihi | Değiştirme önerisi |
|---|---|---|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir (genel) | MMA/AMA | Azure & Azure dışı (Windows & Linux) | Mart 2024 | Yeni aracısız öneri |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir (genel) | MMA/AMA | Azure (Windows) | Mart 2024 | Yeni aracısız öneri |
| Sanal makine ölçek kümelerindeki uç nokta koruma sistem durumu hataları çözümlenmelidir | MMA | Azure Sanal Makine Ölçek Kümeleri | Ağustos 2024 | Değiştirme yok |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | MMA | Azure Sanal Makine Ölçek Kümeleri | Ağustos 2024 | Değiştirme yok |
| Uç nokta koruma çözümü makinelerde olmalıdır | MMA | Azure dışı kaynaklar (Windows) | Ağustos 2024 | Değiştirme yok |
| Makinelerinize uç nokta koruma çözümü yükleme | MMA | Azure ve Azure dışı (Windows) | Ağustos 2024 | Yeni aracısız öneri |
| Makinelerdeki uç nokta koruma sistem durumu sorunları çözümlenmelidir | MMA | Azure ve Azure dışı (Windows ve Linux) | Ağustos 2024 | Yeni aracısız öneri. |
Aracısız makine taramasını temel alan yeni öneriler deneyimi, çoklu bulut makinelerinde hem Windows hem de Linux işletim sistemini destekler.
Değiştirme nasıl çalışacak?
- Log Analytics Aracısı veya AMA tarafından sağlanan geçerli öneriler zaman içinde kullanım dışı bırakılacaktır.
- Bu mevcut önerilerden bazıları aracısız makine taramasına dayalı yeni önerilerle değiştirilecektir.
- Öneriler Log Analytics aracısı kullanımdan kaldırana kadar şu anda GA'da kalır.
- Şu anda önizleme aşamasında olan Öneriler, yeni öneri önizleme sürümünde kullanıma sunulduğunda değiştirilir.
Güvenlik puanı ile neler oluyor?
- Şu anda GA'da olan Öneriler güvenli puanı etkilemeye devam edecektir.
- Geçerli ve yaklaşan yeni öneriler aynı Microsoft Bulut Güvenliği Karşılaştırma denetimi altında bulunur ve bu da güvenli puan üzerinde yinelenen bir etki olmamasını sağlar.
Yeni önerilere hazırlanmak Nasıl yaparım??
- Aracısız makine taramasının Sunucular için Defender Plan 2 veya Defender CSPM'nin bir parçası olarak etkinleştirildiğinden emin olun.
- Ortamınız için uygunsa, en iyi deneyim için yeni GA önerisi kullanılabilir olduğunda kullanım dışı önerileri kaldırmanızı öneririz. Bunu yapmak için, Azure İlkesi'daki yerleşik Bulut için Defender girişiminde öneriyi devre dışı bırakın.
Dosya Bütünlüğünü İzleme deneyimi - değişiklikler ve geçiş kılavuzu
Sunucular için Microsoft Defender Plan 2 artık Uç Nokta için Microsoft Defender (MDE) tümleştirmesi ile desteklenen yeni bir Dosya Bütünlüğünü İzleme (FIM) çözümü sunuyor. MDE tarafından desteklenen FIM genel kullanıma açıldığında, Bulut için Defender portalında AMA deneyimi tarafından desteklenen FIM kaldırılır. Ekim ayında MMA tarafından desteklenen FIM kullanım dışı bırakılacaktır.
AMA üzerinden FIM'den geçiş
ŞU anda AMA üzerinden FIM kullanıyorsanız:
AMA ve değişiklik izleme uzantısını temel alan yeni abonelikleri veya sunucuları FIM'e ekleme ve değişiklikleri görüntüleme artık 30 Mayıs'ta Bulut için Defender portalı üzerinden kullanılamayacak.
AMA tarafından toplanan FIM olaylarını kullanmaya devam etmek istiyorsanız, aşağıdaki sorguyla ilgili çalışma alanına el ile bağlanabilir ve Değişiklik İzleme tablosundaki değişiklikleri görüntüleyebilirsiniz:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeYeni kapsamları eklemeye veya izleme kurallarını yapılandırmaya devam etmek istiyorsanız, veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Bağlan Ion Kurallarını el ile kullanabilirsiniz.
Bulut için Microsoft Defender, FIM'i AMA üzerinden devre dışı bırakmanızı ve yayından sonra ortamınızı Uç Nokta için Defender'ı temel alan yeni FIM sürümüne eklemenizi önerir.
AMA üzerinden FIM'yi devre dışı bırakma
FIM'yi AMA üzerinden devre dışı bırakmak için Azure Değişiklik İzleme çözümünü kaldırın. Daha fazla bilgi için bkz . ChangeTracking çözümünü kaldırma.
Alternatif olarak, ilgili dosya değişikliği izleme Veri toplama kurallarını (DCR) kaldırabilirsiniz. Daha fazla bilgi için bkz . Remove-AzDataCollectionRuleAssociation veya Remove-AzDataCollectionRule.
Yukarıdaki yöntemlerden birini kullanarak dosya olayları koleksiyonunu devre dışı bırakdıktan sonra:
- Seçilen kapsamda yeni olaylar toplanmayacak.
- Daha önce toplanan geçmiş olayları, Değişiklik İzleme bölümündeki ConfigurationChange tablosunun altındaki ilgili çalışma alanında depolanır. Bu olaylar, bu çalışma alanında tanımlanan saklama süresine göre ilgili çalışma alanında kullanılabilir durumda kalır. Daha fazla bilgi için bkz . Bekletme ve arşivleme nasıl çalışır?
Log Analytics Aracısı (MMA) üzerinden FIM'den geçiş
Şu anda Log Analytics Aracısı (MMA) üzerinden FIM kullanıyorsanız:
- Log Analytics Aracısı'na (MMA) dayalı Dosya Bütünlüğünü İzleme, Ekim 2024'te kullanım dışı bırakılacaktır.
- Bulut için Microsoft Defender, MMA üzerinden FIM'i devre dışı bırakmanızı ve yayından sonra ortamınızı Uç Nokta için Defender'ı temel alan yeni FIM sürümüne eklemenizi önerir.
MMA üzerinden FIM'yi devre dışı bırakma
MMA üzerinden FIM'yi devre dışı bırakmak için Azure Değişiklik İzleme çözümünü kaldırın. Daha fazla bilgi için bkz . ChangeTracking çözümünü kaldırma.
Dosya olayları koleksiyonunu devre dışı bırakdıktan sonra:
- Seçilen kapsamda yeni olaylar toplanmayacak.
- Daha önce toplanmış geçmiş olaylar, Değişiklik İzleme bölümündeki ConfigurationChange tablosunun altındaki ilgili çalışma alanında depolanır. Bu olaylar, bu çalışma alanında tanımlanan saklama süresine göre ilgili çalışma alanında kullanılabilir durumda kalır. Daha fazla bilgi için bkz . Bekletme ve arşivleme nasıl çalışır?
Makinelerde SQL için Defender'ın hazırlanması
Makinelerde SQL Server için Defender Log Analytics aracısının kullanımdan kaldırma planı hakkında daha fazla bilgi edinebilirsiniz.
Geçerli Log Analytics aracısını/Azure İzleyici aracısını otomatik sağlama işlemini kullanıyorsanız, makinelerde SQL Server için yeni Azure İzleme Aracısı otomatik sağlama işlemine geçmeniz gerekir. Geçiş işlemi sorunsuzdur ve tüm makineler için sürekli koruma sağlar.
SQL server tarafından hedeflenen AMA otomatik sağlama işlemine geçiş
Azure Portal’ında oturum açın.
Bulut için Microsoft Defender arayın ve seçin.
Bulut için Defender menüsünde Ortam ayarları'nı seçin.
Uygun aboneliği seçin.
Veritabanları planının altında Eylem gerekli'yi seçin.
Açılır pencerede Etkinleştir'i seçin.
Kaydet'i seçin.
SQL server tarafından hedeflenen AMA otomatik sağlama işlemi etkinleştirildikten sonra Log Analytics aracısını/Azure İzleyici aracısını otomatik sağlama işlemini devre dışı bırakmanız ve tüm SQL sunucularında MMA'yı kaldırmanız gerekir:
Log Analytics aracısını devre dışı bırakmak için:
Azure Portal’ında oturum açın.
Bulut için Microsoft Defender arayın ve seçin.
Bulut için Defender menüsünde Ortam ayarları'nı seçin.
Uygun aboneliği seçin.
Veritabanı planı'nın altında Ayarlar'i seçin.
Log Analytics aracısını Kapalı olarak değiştirin.
Devam'ı seçin.
Kaydet'i seçin.
Geçiş planlama
Aracı geçişini iş gereksinimlerinize uygun olarak planlamanızı öneririz. Tabloda kılavuzumuz özetlemektedir.
| Sunucular için Defender kullanıyor musunuz? | Bu Sunucular için Defender özellikleri GA'da gerekli mi: dosya bütünlüğü izleme, uç nokta koruma önerileri, güvenlik temeli önerileri? | Makinelerde VEYA AMA günlük koleksiyonunda SQL sunucuları için Defender mı kullanıyorsunuz? | Geçiş planı |
|---|---|---|---|
| Yes | Evet | Hayır | 1. Uç nokta için Defender tümleştirmesini ve aracısız makine taramasını etkinleştirin. 2. Alternatifin platformuna sahip tüm özelliklerin GA'sını bekleyin (önizleme sürümünü daha önce kullanabilirsiniz). 3. Özellikler GA olduğunda Log Analytics aracısını devre dışı bırakın. |
| Hayır | --- | Hayır | Log Analytics aracısını şimdi kaldırabilirsiniz. |
| Hayır | --- | Evet | 1. ARTıK AMA için SQL otomatik sağlamaya geçirebilirsiniz. 2. Log Analytics/Azure İzleyici Aracısı'nı devre dışı bırakın . |
| Yes | Evet | Yes | 1. Uç nokta için Defender tümleştirmesini ve aracısız makine taramasını etkinleştirin. 2. Ga'daki tüm özellikleri almak için Log Analytics aracısını ve AMA'yi yan yana kullanabilirsiniz. Aracıları yan yana çalıştırma hakkında daha fazla bilgi edinin. 3. Makinelerde SQL için Defender'da AMA için SQL otomatik sağlama'ya geçiş. Alternatif olarak, Log Analytics aracısından AMA'ya geçişi Nisan 2024'te başlatın. 4. Geçiş tamamlandıktan sonra Log Analytics aracısını devre dışı bırakın . |
| Yes | Hayı | Evet | 1. Uç nokta için Defender tümleştirmesini ve aracısız makine taramasını etkinleştirin. 2. Artık makinelerde SQL için Defender'da AMA için SQL otomatik sağlamaya geçirebilirsiniz. 3. Log Analytics aracısını devre dışı bırakın . |