ترحيل AMA ل Microsoft Sentinel
توضح هذه المقالة عملية الترحيل إلى عامل Azure Monitor (AMA) عندما يكون لديك عامل Log Analytics (MMA/OMS) موجود، وتعمل مع Microsoft Sentinel.
تم إيقاف عامل Log Analytics اعتبارا من 31 أغسطس 2024. إذا كنت تستخدم عامل Log Analytics في نشر Microsoft Sentinel، نوصي بالترحيل إلى AMA.
المتطلبات الأساسية
- ابدأ بوثائق Azure Monitor، التي توفر مقارنة عامل ومعلومات عامة لعملية الترحيل هذه. توفر هذه المقالة تفاصيل واختلافات محددة لـ Microsoft Azure Sentinel.
الترحيل إلى عامل Azure Monitor
سيكون لكل منظمة قياسات مختلفة للنجاح وعمليات الترحيل الداخلي. يوفر هذا القسم إرشادات مقترحة تجب مراعاتها عند الترحيل من عامل Log Analytics MMA/OMS إلى AMA، خاصةً لـ Microsoft Azure Sentinel.
قم بتضمين الخطوات التالية في عملية الترحيل:
تأكد من مراجعة المتطلبات الأساسية الضرورية والاعتبارات الأخرى كما هو موثق في وثائق Azure Monitor. لمزيد من المعلومات، راجع قبل البدء.
قم بتشغيل دليل على المفهوم لاختبار كيفية إرسال AMA للبيانات إلى Microsoft Azure Sentinel، بشكل مثالي في بيئة تطوير أو وضع الحماية.
في Microsoft Sentinel، قم بتثبيت حل أحداث أمن Windows Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
لتوصيل أجهزة Windows بموصل أمن Windows Event، ابدأ بصفحة أمن Windows Events عبر موصل بيانات AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع الاتصالات المستندة إلى عامل Windows.
تابع مع أحداث الأمان عبر صفحة موصل بيانات العامل القديم. في علامة التبويب إرشادات، ضمن خطوة التكوين>2>حدد الأحداث التي يجب دفقها، حدد بلا. يعمل هذا على تكوين نظامك بحيث لا تتلقى أي أحداث أمنية من خلال MMA/OMS، لكن مصادر البيانات الأخرى التي تعتمد على هذا العامل ستستمر في العمل. تؤثر هذه الخطوة على جميع الأجهزة التي ترسل تقارير إلى مساحة عمل Log Analytics الحالية.
هام
سيؤدي استيعاب البيانات من نفس المصدر باستخدام نوعين مختلفين من الوكلاء إلى رسوم استيعاب مزدوجة وتكرار الأحداث في مساحة عمل Microsoft Azure Sentinel.
إذا كنت بحاجة إلى الاحتفاظ بكلا موصلي البيانات قيد التشغيل في وقت واحد، فإننا نوصيك بالقيام بذلك لفترة محدودة فقط من أجل قياس الأداء، أو اختبار نشاط المقارنة، بشكل مثالي في مساحة عمل اختبار منفصلة.
قس نجاح إثبات المفهوم الخاص بك.
للمساعدة في هذه الخطوة، استخدم مصنف AMAigration tracker، الذي يعرض الخوادم التي تقدم تقارير إلى مساحات العمل الخاصة بك، وما إذا كانت مثبتة عليها MMA القديمة، أو AMA، أو كلا الوكيلين. يمكنك أيضاً استخدام هذا المصنف لعرض DCRs التي تجمع الأحداث من أجهزتك، وكذلك الأحداث التي تجمعها.
تأكد من تحديد الاشتراك ومجموعة الموارد في الجزء العلوي من المصنف لإظهار البيانات للبيئة الخاصة بك. على سبيل المثال:
لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel.
يجب أن تتضمن معايير النجاح تحليلاً إحصائياً ومقارنة البيانات الكمية التي يتم تناولها بواسطة وكلاء MMA/OMS وAMA على نفس المضيف:
قم بقياس نجاحك خلال فترة زمنية محددة مسبقاً تمثل حمل عمل عادي على بيئتك.
أثناء الاختبار، تأكد من اختبار كل ميزة جديدة توفرها AMA، مثل نظام التشغيل Linux المتعدد، وتصفية أحداث Windows، وما إلى ذلك.
خطط لطرحك لوكلاء AMA في بيئة الإنتاج الخاصة بك وفقاً لملف تعريف مخاطر مؤسستك وعمليات التغيير.
اطرح العامل الجديد في بيئة الإنتاج الخاصة بك وقم بإجراء اختبار نهائي لوظيفة AMA.
افصل أي موصلات بيانات تعتمد على الموصل القديم، مثل أحداث الأمان مع MMA. اترك الموصل الجديد، مثل أحداث أمان Windows مع AMA، قيد التشغيل.
بينما يمكنك تشغيل كل من MMA/OMS القديمة ووكلاء AMA بالتوازي، امنع تكرار التكاليف والبيانات عن طريق التأكد من أن كل مصدر بيانات يستخدم عاملاً واحداً فقط لإرسال البيانات إلى Microsoft Azure Sentinel.
تحقق من مساحة عمل Microsoft Azure Sentinel الخاصة بك للتأكد من أن جميع تدفقات البيانات الخاصة بك قد تم استبدالها باستخدام الموصلات الجديدة المستندة إلى AMA.
قم بإلغاء تثبيت العامل القديم. لمزيد من المعلومات، راجع إدارة عامل Azure Log Analytics.
بالنسبة إلى إطلاق الإنتاج، نوصي بتكوين AMA لكل مصدر بيانات. لمعالجة أي مشكلات تتعلق بالتكرار، راجع الأسئلة المتداولة ذات الصلة في وثائق Azure Monitor.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: