Microsoft Sentinel 的 AMA 移轉

  • 發行項

本文說明當您有現有的Log Analytics代理程式 (MMA/OMS),且正在使用 Microsoft Sentinel 時,移轉至 Azure 監視器代理程式 (AMA)。

重要

Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始規劃移轉至 AMA。

必要條件

從 Azure 監視器檔開始,提供此移轉程式的代理程式比較和一般資訊。

本文提供 Microsoft Sentinel 的特定詳細數據和差異。

代理程式之間的差距分析

Azure 監視器代理程式提供額外的功能和輸送量,比舊版 Log Analytics 代理程式高出 25%。 遷移至新的 AMA 連接器以取得更高的效能,特別是當您使用伺服器作為 Windows 安全性事件或轉送事件的記錄轉寄站時。

Azure 監視器代理程式提供下列額外功能,舊版 Log Analytics 代理程序不支援此功能:

記錄類型 功能
Windows 記錄 依安全性事件標識碼進行篩選
Windows 事件轉送
Linux 記錄 多路連接

只有舊版Log Analytics代理程式支援的唯一記錄是Windows防火牆記錄。

每個組織都會有不同的成功計量和內部移轉程式。 本節提供從 Log Analytics MMA/OMS 代理程式移轉至 AMA 時所要考慮的建議指引,特別是 Microsoft Sentinel。

在您的移轉程式中包含下列步驟:

  1. 請確定您已檢閱必要的必要條件和其他考慮,如 Azure 監視器檔中所述。

  2. 執行概念證明,以測試 AMA 如何將數據傳送至 Microsoft Sentinel,在開發或沙盒環境中理想情況下。

    1. 若要將 Windows 電腦連線到 Windows 安全性 事件連接器,請從 Microsoft Sentinel 中的 AMA 數據連接器頁面開始 Windows 安全性 事件。 如需詳細資訊,請參閱 Windows 代理程式型連線

    2. 移至 [透過舊版代理程序 數據連接器的安全性事件] 頁面。 在 [指示] 索引標籤的 [設定>步驟 2] 底下選取要串流的事件,選取 []。 這會設定您的系統,讓您不會透過 MMA/OMS 接收任何安全性事件,但依賴此代理程式的其他資料源將會繼續運作。 此步驟會影響向目前Log Analytics工作區報告的所有機器。

    重要

    使用兩種不同類型的代理程式從相同來源擷取數據,會導致 Microsoft Sentinel 工作區中的雙重擷取費用和重複事件。

    如果您需要同時讓這兩個數據連接器同時執行,建議您只在基準檢驗或測試比較活動的時間有限的情況下,在個別的測試工作區中執行。

  3. 測量概念證明的成功。

    若要協助進行此步驟,請使用 AMA 移轉追蹤器 活頁簿,此活頁簿會顯示向工作區報告的伺服器,以及它們是否已安裝舊版 MMA、AMA 或兩個代理程式。 您也可以使用此活頁簿來檢視從計算機收集事件的 DCR,以及要收集的事件。

    例如:

    AMA 移轉追蹤器活頁簿的螢幕快照。

    成功準則應包含 MMA/OMS 和 AMA 代理程式在相同主機上內嵌的量化數據統計分析和比較:

    • 在預先定義的時段內測量您的成功,代表您環境的一般工作負載。

    • 在測試時,請務必測試 AMA 所提供的每個新功能,例如 Linux 多路連接、Windows 事件篩選等等。

    • 根據組織的風險配置檔和變更程式,規劃生產環境中 AMA 代理程式的推出。

  4. 在您的生產環境中推出新的代理程式,並執行 AMA 功能的最終測試。

  5. 中斷任何依賴舊版連接器的數據連接器,例如使用 MMA 的安全性事件。 讓新的連接器保持執行,例如 Windows 安全性 AMA 的事件。

    雖然您可以同時讓舊版 MMA/OMS 和 AMA 代理程式平行執行,但請確定每個數據源只使用一個代理程式將數據傳送至 Microsoft Sentinel,以避免重複的成本和數據。

  6. 請檢查您的 Microsoft Sentinel 工作區,以確定所有數據流都已使用新的 AMA 型連接器來取代。

  7. 卸載舊版代理程式。 如需詳細資訊,請參閱 管理 Azure Log Analytics 代理程式

常見問題集

下列常見問題可解決使用 Microsoft Sentinel 進行 AMA 移轉的特定問題。 如需詳細資訊,請參閱 Azure 監視器檔中的 AMA 移 轉常見問題和 Azure 監視器代理 程式的常見問題。

如果我在 Microsoft Sentinel 部署中以平行方式執行 MMA/OMS 和 AMA,會發生什麼事?

AMA 和 MMA/OMS 代理程式可以共存於同一部電腦上。 如果兩者同時從相同的數據源傳送數據到 Microsoft Sentinel 工作區,則會從單一主機傳送重複事件和雙重擷取費用。

針對生產推出,建議您為每個數據源設定 MMA/OMS 代理程式或 AMA。 若要解決任何重複問題,請參閱 Azure 監視器檔中的相關常見問題

AMA 還沒有我的 Microsoft Sentinel 部署需要運作的功能。 我是否應該移轉?

舊版 Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。

建議您隨時掌握隨著時間而針對 AMA 發行的新功能,因為它接近 MMA/OMS 的同位。 只要您需要執行 Microsoft Sentinel 部署的功能,就可以在 AMA 中立即移轉。

雖然您可以同時執行 MMA 和 AMA,但您可能會想要一次移轉每個連接器,同時執行這兩個代理程式。

下一步

如需詳細資訊,請參閱