Microsoft Sentinel için AMA geçişi
Bu makalede, mevcut bir Log Analytics Aracısı (MMA/OMS) varsa ve Microsoft Sentinel ile çalışırken Azure İzleyici Aracısı'na (AMA) geçiş işlemi açıklanmaktadır.
Önemli
Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz.
Önkoşullar
Bu geçiş işlemi için bir aracı karşılaştırması ve genel bilgiler sağlayan Azure İzleyici belgeleriyle başlayın.
Bu makalede, Microsoft Sentinel için belirli ayrıntılar ve farklılıklar sağlanır.
Aracılar arasındaki boşluk analizi
Aşağıdaki tablolarda, Şu anda Microsoft Sentinel için aracı tabanlı veri toplamayı kullanan günlük türleri için boşluk analizleri gösterilmektedir. Bu, AMA desteği Log Analytics aracısı ile eşliğe doğru büyüdükçe güncelleştirilecektir.
Windows günlükleri
| Günlük türü / Destek | Azure İzleyici aracısı desteği | Log Analytics aracısı desteği |
|---|---|---|
| Güvenlik Olayları | Windows Güvenliği Olayları veri bağlayıcısı | Windows Güvenliği Olayları veri bağlayıcısı (Eski) |
| Güvenlik olayı kimliğine göre filtreleme | Windows Güvenliği Olayları veri bağlayıcısı (AMA) | - |
| Olay kimliğine göre filtreleme | Yalnızca koleksiyon | - |
| Windows Olay İletme | Windows İletilen Olaylar | - |
| Windows Güvenlik Duvarı Günlükleri | - | Windows Güvenlik Duvarı veri bağlayıcısı |
| Performans sayaçları | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Windows (Sistem) Olay Günlükleri | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Özel günlükler (metin) | Yalnızca koleksiyon | Yalnızca koleksiyon |
| IIS günlükleri | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Çoklu giriş | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Uygulama ve hizmet günlükleri | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Sysmon | Yalnızca koleksiyon | Yalnızca koleksiyon |
| DNS günlükleri | AMA bağlayıcısı aracılığıyla Windows DNS sunucuları (Genel önizleme) | Windows DNS Server bağlayıcısı (Genel önizleme) |
Önemli
Azure İzleyici aracısı, eski Log Analytics aracılarından %25 daha iyi bir aktarım hızı sağlar. Özellikle sunucularınızı Windows güvenlik olayları veya iletilen olaylar için günlük ileticileri olarak kullanıyorsanız, daha yüksek performans elde etmek için yeni AMA bağlayıcılarına geçiş yapın.
Linux günlükleri
| Günlük türü / Destek | Azure İzleyici aracısı desteği | Log Analytics aracısı desteği |
|---|---|---|
| Syslog | Yalnızca koleksiyon | Syslog veri bağlayıcısı |
| Ortak Olay Biçimi (CEF) | AMA veri bağlayıcısı aracılığıyla CEF | CEF veri bağlayıcısı |
| Sysmon | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Özel günlükler (metin) | Yalnızca koleksiyon | Yalnızca koleksiyon |
| Çoklu giriş | Yalnızca koleksiyon | - |
Önerilen geçiş planı
Her kuruluşun farklı başarı ölçümleri ve iç geçiş işlemleri olacaktır. Bu bölümde, Log Analytics MMA/OMS aracısından AMA'ya( özellikle Microsoft Sentinel için) geçiş yaparken göz önünde bulundurulması gereken önerilen yönergeler sağlanır.
Geçiş işleminize aşağıdaki adımları ekleyin:
Azure İzleyici belgelerinde belgelendiği gibi gerekli önkoşulları ve diğer önemli noktaları gözden geçirdiğinizden emin olun.
AMA'nın microsoft Sentinel'e verileri nasıl gönderdiğini test etmek için ideal olarak geliştirme veya korumalı alan ortamında bir kavram kanıtı çalıştırın.
Windows makinelerinizi Windows Güvenliği Olay bağlayıcısına bağlamak için Microsoft Sentinel'de AMA veri bağlayıcısı aracılığıyla Windows Güvenliği Olaylar sayfasından başlayın. Daha fazla bilgi için bkz . Windows aracı tabanlı bağlantılar.
Eski Aracı veri bağlayıcısı aracılığıyla Güvenlik Olayları sayfasına gidin. Yönergeler sekmesinde, Yapılandırma> Adım 2'nin altında hangi olayların akışa aktarılasını seçin, Hiçbiri'ni seçin. Bu, sisteminizi MMA/OMS aracılığıyla herhangi bir güvenlik olayı almayacak şekilde yapılandırılır, ancak bu aracıyı kullanan diğer veri kaynakları çalışmaya devam eder. Bu adım geçerli Log Analytics çalışma alanınıza rapor eden tüm makineleri etkiler.
Önemli
İki farklı aracı türü kullanılarak aynı kaynaktan veri alımı, Microsoft Sentinel çalışma alanında çift alım ücretlerine ve yinelenen olaylara neden olur.
Her iki veri bağlayıcısını da aynı anda çalışır durumda tutmanız gerekiyorsa, bunu yalnızca bir karşılaştırma veya test karşılaştırma etkinliği için sınırlı bir süre için, ideal olarak ayrı bir test çalışma alanında yapmanızı öneririz.
Kavram kanıtınızın başarısını ölçün.
Bu adıma yardımcı olmak için, çalışma alanlarınıza raporlama yapan sunucuları ve eski MMA,AMA veya her iki aracıyı da yükleyip yüklemediklerini gösteren AMA geçiş izleyicisi çalışma kitabını kullanın. Bu çalışma kitabını, makinelerinizden olay toplayan DCR'leri ve topladıkları olayları görüntülemek için de kullanabilirsiniz.
Örneğin:
Başarı ölçütleri, aynı konakta MMA/OMS ve AMA aracıları tarafından alınan nicel verilerin istatistiksel analizini ve karşılaştırmasını içermelidir:
Ortamınız için normal bir iş yükünü temsil eden önceden tanımlanmış bir zaman aralığı boyunca başarınızı ölçün.
Test ederken Linux çoklu giriş, Windows olay filtreleme vb. gibi AMA tarafından sağlanan her yeni özelliği test edin.
Üretim ortamınızdaki AMA aracıları için dağıtımınızı kuruluşunuzun risk profiline ve değişiklik süreçlerine göre planlayın.
Yeni aracıyı üretim ortamınızda dağıtın ve AMA işlevselliğinin son testini çalıştırın.
MMA ile Güvenlik Olayları gibi eski bağlayıcıyı kullanan tüm veri bağlayıcılarının bağlantısını kesin. Ama ile Windows Güvenliği Olayları gibi yeni bağlayıcıyı çalışır durumda bırakın.
Hem eski MMA/OMS hem de AMA aracılarının paralel çalışmasını sağlayabilirsiniz ancak her veri kaynağının Microsoft Sentinel'e veri göndermek için yalnızca bir aracı kullandığından emin olarak yinelenen maliyetleri ve verileri önleyin.
Tüm veri akışlarınızın yeni AMA tabanlı bağlayıcılar kullanılarak değiştirilip değiştirilmediğinden emin olmak için Microsoft Sentinel çalışma alanınızı denetleyin.
Eski aracıyı kaldırın. Daha fazla bilgi için bkz . Azure Log Analytics aracısını yönetme.
SSS
Aşağıdaki SSS'ler, Microsoft Sentinel ile AMA geçişiyle ilgili sorunları ele alır. Daha fazla bilgi için Azure İzleyici belgelerindeki Ama geçişiyle ilgili sık sorulan sorular ve Azure İzleyici Aracısı için sık sorulan sorular bölümüne de bakın.
Microsoft Sentinel dağıtımımda hem MMA/OMS hem de AMA'ı paralel olarak çalıştırırsam ne olur?
Hem AMA hem de MMA/OMS aracıları aynı makinede birlikte bulunabilir. Her ikisi de aynı veri kaynağından Bir Microsoft Sentinel çalışma alanına aynı anda tek bir konaktan veri gönderirse, yinelenen olaylar ve çift alım ücretleri oluşur.
Üretim dağıtımınız için, her veri kaynağı için bir MMA/OMS aracısı veya AMA yapılandırmanızı öneririz. Yinelemeyle ilgili sorunları gidermek için Azure İzleyici belgelerindeki ilgili SSS'lere bakın.
AMA henüz Microsoft Sentinel dağıtımımın çalışması için gereken özelliklere sahip değil. Henüz geçiş yapmalı mıydım?
Eski Log Analytics aracısı 31 Ağustos 2024 tarihinde kullanımdan kaldırılacaktır.
MMA/OMS ile eşliğe ulaştıkça ama için zaman içinde kullanıma sunulan yeni özellikleri güncel tutmanızı öneririz. Microsoft Sentinel dağıtımınızı çalıştırmak için ihtiyacınız olan özellikler AMA'da kullanılabilir duruma gelir gelmez geçişi hedefleyin.
MMA ve AMA'yı aynı anda çalıştırabilirsiniz ancak her iki aracıyı da çalıştırırken her bağlayıcıyı birer birer geçirmek isteyebilirsiniz.
Sonraki adımlar
Daha fazla bilgi için bkz.