AMA-Migration für Microsoft Sentinel
In diesem Artikel wird der Migrationsprozess zum Azure Monitor-Agent (AMA) beschrieben, wenn Sie über einen vorhandenen Log Analytics-Agent (MMA/OMS) verfügen und mit Microsoft Sentinel arbeiten.
Wichtig
Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen.
Voraussetzungen
Beginnen Sie mit der Azure Monitor-Dokumentation, die einen Vergleich der Agents sowie allgemeine Informationen für diesen Migrationsprozess bereitstellt.
Dieser Artikel enthält spezifische Details und Unterschiede für Microsoft Sentinel.
Analyse der Lücke zwischen Agents
Der Azure Monitor-Agent bietet zusätzliche Funktionen und einen Durchsatz von 25 % besser als ältere Log Analytics-Agents. Migrieren Sie zu den neuen AMA-Connectors, um eine höhere Leistung zu erzielen, insbesondere wenn Sie Ihre Server als Protokollweiterleitung für Windows-Sicherheitsereignisse oder weitergeleitete Ereignisse verwenden.
Der Azure Monitor-Agent bietet die folgenden zusätzlichen Funktionen, die von älteren Log Analytics-Agents nicht unterstützt werden:
| Protokolltyp | Funktionalität |
|---|---|
| Windows-Protokolle | Filtern nach Sicherheitsereignis-ID Windows-Ereignisweiterleitung |
| Linux-Protokolle | Multi-Homing |
Die einzigen Protokolle, die nur vom älteren Log Analytics-Agent unterstützt werden, sind Windows-Firewallprotokolle.
Empfohlener Migrationsplan
Jede Organisation weist unterschiedliche Metriken für den Erfolg und interne Migrationsprozesse auf. Dieser Abschnitt enthält empfohlene Anleitungen für die Migration vom Log Analytics-Agent (MMA/OMS) zum AMA, insbesondere für Microsoft Sentinel.
Schließen Sie die folgenden Schritte in Ihren Migrationsprozess ein:
Stellen Sie sicher, dass Sie die erforderlichen Voraussetzungen und andere Überlegungen überprüft haben, wie hier in der Azure Monitor-Dokumentation dokumentiert.
Führen Sie einen Proof of Concept aus, um zu testen, wie der AMA Daten an Microsoft Sentinel sendet, idealerweise in einer Entwicklungs- oder Sandboxumgebung.
Um Ihre Windows-Computer mit dem Windows-Sicherheitsereignisconnector zu verbinden, beginnen Sie mit der Windows-Sicherheitsereignisse über AMA-Datenconnectorseite in Microsoft Sentinel. Weitere Informationen finden Sie unter Windows-Agent-basierte Verbindungen.
Wechseln Sie zur Sicherheitsereignisse über Legacy-Agent-Datenconnectorseite. Wählen Sie auf der Registerkarte Anweisungen unter Konfiguration>Schritt 2 aus, welche Ereignisse gestreamt werden sollen, und wählen Sie dann Keine aus. Dadurch wird Ihr System so konfiguriert, dass Sie keine Sicherheitsereignisse über MMA/OMS empfangen, aber andere Datenquellen, die auf diesem Agent basieren, funktionieren weiterhin. Dieser Schritt wirkt sich auf alle Computer aus, die Berichte an Ihren aktuellen Log Analytics-Arbeitsbereich melden.
Wichtig
Das Erfassen von Daten aus derselben Quelle mithilfe von zwei verschiedenen Arten von Agents führt zu doppelten Erfassungsgebühren und doppelten Ereignissen im Microsoft Sentinel-Arbeitsbereich.
Wenn Sie den Betrieb beider Datenconnectors gleichzeitig aufrechterhalten müssen, empfiehlt es sich, dies nur für einen begrenzten Zeitraum für einen Benchmarktest oder eine Testvergleichsaktivität durchzuführen, idealerweise in einem separaten Testarbeitsbereich.
Messen Sie den Erfolg Ihres Proof of Concept.
Verwenden Sie zur Unterstützung für diesen Schritt die Arbeitsmappe AMA-Migrationsnachverfolgung, in der die Server angezeigt werden, die Berichte an Ihre Arbeitsbereiche melden, und ob der Legacy-MMA, der AMA oder beide Agents installiert sind. Sie können diese Arbeitsmappe auch verwenden, um die DCRs anzuzeigen, die Ereignisse von Ihren Computern sammeln, und welche Ereignisse sie sammeln.
Beispiel:
Erfolgskriterien sollten eine statistische Analyse und einen Vergleich der quantitativen Daten umfassen, die von den MMA/OMS- und AMA-Agents auf demselben Host erfasst werden:
Messen Sie Ihren Erfolg über einen vordefinierten Zeitraum, der eine normale Workload für Ihre Umgebung darstellt.
Stellen Sie beim Testen sicher, dass Sie jedes neue Feature testen, das vom AMA bereitgestellt wird, z. B. Linux-Multi-Homing, Windows-Ereignisfilterung usw.
Planen Sie Ihren Rollout für AMA-Agents in Ihrer Produktionsumgebung gemäß dem Risikoprofil und den Änderungsprozessen Ihrer Organisation.
Führen Sie den neuen Agent in Ihre Produktionsumgebung ein, und führen Sie einen abschließenden Test der AMA-Funktionalität aus.
Trennen Sie alle Datenconnectors, die auf dem Legacyconnector basieren, z. B. Sicherheitsereignisse mit MMA. Behalten Sie die Ausführung des neuen Connectors, z. B. Windows-Sicherheitsereignisse mit AMA, bei.
Sie können zwar sowohl die Legacy-MMA/OMS-Agents als auch die AMA-Agents parallel ausführen, vermeiden dabei jedoch doppelte Kosten und Daten, indem Sie sicherstellen, dass jede Datenquelle nur einen Agent verwendet, um Daten an Microsoft Sentinel zu senden.
Überprüfen Sie Ihren Microsoft Sentinel-Arbeitsbereich, um sicherzustellen, dass alle Ihre Datenströme durch die neuen AMA-basierten Connectors ersetzt wurden.
Deinstallieren Sie den Legacy-Agent. Weitere Informationen finden Sie unter Verwalten des Azure Log Analytics-Agents.
Häufig gestellte Fragen
In den folgenden häufig gestellten Fragen werden spezifische Probleme bei der AMA-Migration mit Microsoft Sentinel behandelt. Weitere Informationen finden Sie auch in den Häufig gestellten Fragen zur AMA-Migration und Häufig gestellten Fragen zum Azure Monitor-Agent in der Azure Monitor-Dokumentation.
Was geschieht, wenn ich MMA/OMS und AMA parallel in meiner Microsoft Sentinel-Bereitstellung ausführe?
Sowohl die AMA- als auch die MMA/OMS-Agents können auf demselben Computer gleichzeitig vorhanden sein. Wenn beide gleichzeitig von einem einzigen Host aus Daten aus derselben Datenquelle an einen Microsoft Sentinel-Arbeitsbereich senden, kommt es zu doppelten Ereignissen, und es fallen doppelte Gebühren für die Datenerfassung an.
Für Ihren Produktionsrollout empfiehlt es sich, entweder einen MMA/OMS-Agent oder den AMA für jede Datenquelle zu konfigurieren. Informationen zum Beheben von Problemen durch Duplizierung finden Sie in den entsprechenden häufig gestellten Fragen in der Azure Monitor-Dokumentation.
Der AMA verfügt noch nicht über die Features, die meine Microsoft Sentinel-Bereitstellung für ihre Funktion benötigt. Sollte ich schon migrieren?
Der Legacy-Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen.
Es wird empfohlen, dass Sie mit den neuen Features, die für den AMA im Laufe der Zeit veröffentlicht werden, auf dem neuesten Stand bleiben, da das baldige Ziel hierbei Funktionsgleichheit mit MMA/OMS ist. Migrieren Sie, sobald die Funktionen, die Sie zum Ausführen Ihrer Microsoft Sentinel-Bereitstellung benötigen, im AMA verfügbar sind.
Obwohl Sie MMA und AMA gleichzeitig ausführen können, sollten Sie doch jeden Connector nacheinander migrieren, während Sie beide Agents ausführen.
Nächste Schritte
Weitere Informationen finden Sie unter: