Sdílet prostřednictvím

Migrace AMA pro Microsoft Sentinel

  • Článek

Tento článek popisuje proces migrace do agenta služby Azure Monitor (AMA), pokud máte existujícího staršího agenta Log Analytics (MMA/OMS) a pracujete s Microsoft Sentinelem.

Agent Log Analytics je od 31. srpna 2024 vyřazený. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme migrovat do AMA.

Požadavky

  • Začněte s dokumentací ke službě Azure Monitor, která poskytuje porovnání agentů a obecné informace pro tento proces migrace. Tento článek obsahuje konkrétní podrobnosti a rozdíly pro Microsoft Sentinel.

Každá organizace bude mít různé metriky úspěšných a interních procesů migrace. Tato část obsahuje navrhované pokyny, které byste měli zvážit při migraci z agenta MMA/OMS služby Log Analytics do AMA, konkrétně pro Microsoft Sentinel.

Do procesu migrace uveďte následující kroky:

  1. Ujistěte se, že jste zkontrolovali nezbytné požadavky a další aspekty popsané v dokumentaci ke službě Azure Monitor. Další informace najdete v tématu Než začnete.

  2. Spusťte testování konceptu a otestujte, jak AMA odesílá data do Microsoft Sentinelu v ideálním případě ve vývojovém nebo sandboxovém prostředí.

    1. V Microsoft Sentinelu nainstalujte řešení Zabezpečení Windows Events Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

    2. Pokud chcete připojit počítače s Windows ke konektoru událostí Zabezpečení Windows, začněte na stránce Zabezpečení Windows Události prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Připojení založená na agentech systému Windows.

    3. Pokračujte v událostech zabezpečení prostřednictvím stránky datového konektoru starší verze agenta . Na kartě Pokyny v části Konfigurace>Krok 2>Vyberte události, které se mají streamovat, vyberte Žádné. Tím se váš systém nakonfiguruje tak, abyste neobdrželi žádné události zabezpečení prostřednictvím MMA/OMS, ale ostatní zdroje dat, které se spoléhají na tohoto agenta, budou dál fungovat. Tento krok ovlivní všechny počítače, které hlásí aktuální pracovní prostor služby Log Analytics.

    Důležité

    Příjem dat ze stejného zdroje pomocí dvou různých typů agentů způsobí, že se v pracovním prostoru Microsoft Sentinel budou účtovat poplatky za dvojí příjem dat a duplicitní události.

    Pokud potřebujete, aby oba datové konektory běžely současně, doporučujeme, abyste to udělali pouze po omezenou dobu pro srovnávací testy nebo aktivitu porovnání testů v ideálním případě v samostatném testovacím pracovním prostoru.

  3. Změřte úspěšnost testování konceptu.

    Pokud chcete s tímto krokem pomoct, použijte sešit nástroje AMA Migration Tracker , který zobrazuje servery, které se hlásí do vašich pracovních prostorů, a jestli mají nainstalované starší agenty MMA, AMA nebo oba agenty. Tento sešit můžete také použít k zobrazení řadičů domény, které shromažďují události z vašich počítačů, a událostí, které shromažďují.

    Nezapomeňte vybrat předplatné a skupinu prostředků v horní části sešitu, abyste zobrazili data pro vaše prostředí. Příklad:

    Snímek obrazovky sešitu nástroje AMA pro sledování migrace

    Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu.

    Kritéria úspěchu by měla zahrnovat statistickou analýzu a porovnání kvantitativních dat přijatých agenty MMA/OMS a AMA na stejném hostiteli:

    • Změřte úspěch v rámci předdefinovaného časového období, které představuje běžnou úlohu pro vaše prostředí.

    • Při testování nezapomeňte otestovat každou novou funkci, kterou poskytuje AMA, například vícenásobné navádání Linuxu, filtrování událostí Windows atd.

    • Naplánujte zavedení agentů AMA v produkčním prostředí podle rizikového profilu vaší organizace a procesů změn.

  4. Nasaďte nového agenta do produkčního prostředí a spusťte konečný test funkčnosti AMA.

  5. Odpojte všechny datové konektory, které se spoléhají na starší konektor, například události zabezpečení pomocí MMA. Nechte nový konektor, například Zabezpečení Windows Události pomocí AMA, spuštěný.

    I když můžete mít starší verzi MMA/OMS i agenty AMA spuštěné paralelně, můžete zabránit duplicitním nákladům a datům tím, že zajistíte, aby každý zdroj dat k odesílání dat do Microsoft Sentinelu používal jenom jednoho agenta.

  6. Zkontrolujte pracovní prostor Microsoft Sentinelu a ujistěte se, že všechny datové proudy byly nahrazeny pomocí nových konektorů založených na AMA.

  7. Odinstalujte starší verzi agenta. Další informace najdete v tématu Správa agenta Azure Log Analytics.

Pro uvedení do produkčního prostředí doporučujeme nakonfigurovat AMA pro každý zdroj dat. Pokud chcete vyřešit případné problémy s duplikací, projděte si příslušné nejčastější dotazy v dokumentaci ke službě Azure Monitor.

Související obsah

Další informace naleznete v tématu: