Migración de AMA para Microsoft Sentinel

En este artículo se describe el proceso de migración al agente de Azure Monitor (AMA) cuando tiene un agente de Log Analytics heredado (MMA/OMS) existente y está trabajando con Microsoft Sentinel.

El agente de Log Analytics se retira a partir del 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, se recomienda migrar a la AMA.

Requisitos previos

• Comience con la documentación de Azure Monitor, que proporciona una comparación de agentes e información general para este proceso de migración. En este artículo se proporcionan detalles y diferencias específicos para Microsoft Sentinel.

Migración al agente de Azure Monitor

Cada organización tendrá diferentes métricas de procesos de migración internos y de éxito. En esta sección se proporcionan instrucciones sugeridas que se deben tener en cuenta al migrar desde el agente de MMA/OMS de Log Analytics a la AMA, específicamente para Microsoft Sentinel.

Incluya los pasos siguientes en el proceso de migración:

1. Asegúrese de que ha revisado los requisitos previos necesarios y otras consideraciones, como se documenta en la documentación de Azure Monitor. Para obtener más información, consulte Antes de empezar.

2. Ejecute una prueba de concepto para probar cómo ama envía datos a Microsoft Sentinel, idealmente en un entorno de desarrollo o espacio aislado.

   1. En Microsoft Sentinel, instale la solución Microsoft Sentinel eventos de Seguridad de Windows. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.

   2. Para conectar las máquinas Windows al conector de eventos de Seguridad de Windows, comience con la página Eventos de Seguridad de Windows a través del conector de datos ama en Microsoft Sentinel. Para obtener más información, vea Conexiones basadas en agentes de Windows.

   3. Continúe con la página Eventos de seguridad a través del conector de datos del Agente heredado. En la pestaña Instrucciones , en Paso de configuración>2>Seleccione qué eventos transmitir, seleccione Ninguno. Esto configura el sistema para que no reciba ningún evento de seguridad a través de MMA/OMS, pero otros orígenes de datos que dependen de este agente seguirán funcionando. Este paso afecta a todas las máquinas que informan al área de trabajo de Log Analytics actual.

   Importante

   La ingesta de datos desde el mismo origen mediante dos tipos diferentes de agentes dará lugar a cargos de ingesta dobles y eventos duplicados en el área de trabajo de Microsoft Sentinel.

   Si necesita mantener ambos conectores de datos en ejecución simultáneamente, se recomienda hacerlo solo durante un tiempo limitado para una prueba comparativa o una actividad de comparación de pruebas, idealmente en un área de trabajo de prueba independiente.

3. Mida el éxito de la prueba de concepto.

   Para ayudar con este paso, use el libro de seguimiento de migración de AMA , que muestra los servidores que notifican a las áreas de trabajo y si tienen instalados el MMA heredado, la AMA o ambos agentes. También puede usar este libro para ver los DCR que recopilan eventos de las máquinas y qué eventos recopilan.

   Asegúrese de seleccionar su suscripción y grupo de recursos en la parte superior del libro para mostrar los datos de su entorno. Por ejemplo:

   

   Para obtener más información, consulte Visualización y supervisión de los datos mediante libros en Microsoft Sentinel.

   Los criterios de éxito deben incluir un análisis estadístico y una comparación de los datos cuantitativos ingeridos por los agentes de MMA/OMS y AMA en el mismo host:

   • Mida el éxito durante un período de tiempo predefinido que represente una carga de trabajo normal para su entorno.

   • Durante las pruebas, asegúrese de probar cada nueva característica proporcionada por la AMA, como Linux hospedaje múltiple, filtrado de eventos de Windows, etc.

   • Planee la implementación de los agentes de AMA en el entorno de producción de acuerdo con el perfil de riesgo de la organización y los procesos de cambio.

4. Implemente el nuevo agente en el entorno de producción y ejecute una prueba final de la funcionalidad de AMA.

5. Desconecte los conectores de datos que se basan en el conector heredado, como eventos de seguridad con MMA. Deje el nuevo conector, como Seguridad de Windows Eventos con AMA, en ejecución.

   Aunque puede hacer que los agentes de MMA/OMS heredados y ama se ejecuten en paralelo, evite los costos duplicados y los datos asegurándose de que cada origen de datos use solo un agente para enviar datos a Microsoft Sentinel.

6. Compruebe el área de trabajo de Microsoft Sentinel para asegurarse de que todas las secuencias de datos se han reemplazado mediante los nuevos conectores basados en AMA.

7. Desinstale el agente heredado. Para obtener más información, consulte Administración de Azure agente de Log Analytics.

Para el lanzamiento de producción, se recomienda configurar la AMA para cada origen de datos. Para solucionar cualquier problema de duplicación, consulte las preguntas más frecuentes pertinentes en la documentación de Azure Monitor.

Contenido relacionado

Para más información, vea:

• Introducción a los agentes de Azure Monitor
• Migración desde agentes de Log Analytics
• Conexiones basadas en agentes de Windows