Migración de AMA para Microsoft Sentinel

En este artículo, se describe el proceso de migración al agente de Azure Monitor (AMA) cuando tiene un agente de Log Analytics (MMA/OMS) existente y trabaja con Microsoft Sentinel.

Importante

El agente de Log Analytics se retirará el 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, le recomendamos que empiece a planear la migración al AMA.

Prerrequisitos

Comience con la documentación de Azure Monitor, que proporciona una comparación de agentes e información general para este proceso de migración.

En este artículo, se proporcionan detalles y diferencias específicos para Microsoft Sentinel.

Análisis de brechas entre agentes

En las tablas siguientes, se muestran análisis de brechas para los tipos de registro que actualmente se basan en la recopilación de datos basada en agente para Microsoft Sentinel. Esta información se actualizará a medida que la compatibilidad con AMA crezca hacia la paridad con el agente de Log Analytics.

Importante

Actualmente, AMA tiene un límite de 5000 eventos por segundo (EPS). Compruebe si este límite funciona para su organización, especialmente si usa los servidores como reenviadores de registros, como para los eventos reenviados de Windows o los eventos de Syslog.

Registros de Windows

Tipo de registro / Soporte técnico Compatibilidad con el agente de Azure Monitor Compatibilidad con el agente de Log Analytics
Eventos de seguridad Conector de datos de eventos de seguridad de Windows (versión preliminar pública) Conector de datos de eventos de seguridad de Windows (heredado)
Filtrado por identificador de evento de seguridad Conector de datos de eventos de seguridad de Windows (AMA) (versión preliminar pública) -
Filtro por identificador de evento Solo recopilación -
Reenvío de eventos de Windows Eventos reenviados de Windows (versión preliminar) -
Registros del Firewall de Windows - Conector de datos del Firewall de Windows
Contadores de rendimiento Solo recopilación Solo recopilación
Registros de eventos de Windows Solo recopilación Solo recopilación
Registros personalizados Solo recopilación Solo recopilación
Registros de IIS Solo recopilación Solo recopilación
Hospedaje múltiple Solo recopilación Solo recopilación
Registros de aplicaciones y servicios - Solo recopilación
Sysmon Solo recopilación Solo recopilación
Registros DNS Servidores DNS de Windows a través del conector AMA (versión preliminar pública) Conector del servidor DNS de Windows (versión preliminar pública)

Registros de Linux

Tipo de registro / Soporte técnico Compatibilidad con el agente de Azure Monitor Compatibilidad con el agente de Log Analytics
Syslog Solo recopilación Conector de datos de Syslog
Formato de evento común (CEF) Solo recopilación Conector de datos CEF
Sysmon Solo recopilación Solo recopilación
Registros personalizados - Solo recopilación
Hospedaje múltiple Solo recopilación -

Cada organización tendrá diferentes métricas de éxito y procesos de migración internos. En esta sección, se proporcionan instrucciones sugeridas que se deben tener en cuenta al migrar desde el agente de MMA/OMS de Log Analytics a AMA, específicamente para Microsoft Sentinel.

Incluya los pasos siguientes en el proceso de migración:

  1. Asegúrese de que ha tenido en cuenta los requisitos del entorno y ha comprendido las diferencias entre los distintos agentes. Para más información, consulte Consideraciones sobre el plan de migración en la documentación de Azure Monitor.

  2. Ejecute una prueba de concepto para probar cómo envía AMA los datos a Microsoft Sentinel, idealmente en un entorno de desarrollo o espacio aislado.

    1. Para conectar las máquinas Windows al conector de eventos de seguridad de Windows, comience con la página del conector de datos de eventos de seguridad de Windows mediante AMA en Microsoft Sentinel. Para más información, consulte Conexiones basadas en agentes de Windows.

    2. Vaya a la página del conector de datos de eventos de seguridad mediante el agente heredado. En la pestaña Instrucciones, en Configuración> Paso 2, Seleccione los eventos que se transmitirán, seleccione Ninguno. Esto configura el sistema para que no reciba ningún evento de seguridad mediante MMA/OMS, pero otros orígenes de datos que dependen de este agente seguirán funcionando. Este paso afecta a todas las máquinas que informan al área de trabajo actual de Log Analytics.

    Importante

    La ingesta de datos del mismo origen mediante dos tipos diferentes de agentes dará lugar a cargos por ingesta doble y eventos duplicados en el área de trabajo de Microsoft Sentinel.

    Si tiene que mantener ambos conectores de datos en ejecución simultáneamente, se recomienda hacerlo solo durante un tiempo limitado para una prueba comparativa o una actividad de comparación de pruebas, idealmente en un área de trabajo de prueba independiente.

  3. Mida el éxito de la prueba de concepto.

    Para ayudar con este paso, use el libro Seguimiento de migración de AMA, que muestra los servidores que informan a las áreas de trabajo y si tienen instalado MMA heredado, AMA o ambos agentes. También puede usar este libro para ver los DCR que recopilan eventos de las máquinas y qué eventos recopilan.

    Por ejemplo:

    Captura de pantalla del libro de seguimiento de migración AMA.

    Los criterios de éxito deben incluir un análisis estadístico y una comparación de los datos cuantitativos ingeridos por los agentes MMA/OMS y AMA en el mismo host:

    • Mida el éxito durante un período de tiempo predefinido que represente una carga de trabajo normal para su entorno.

    • Durante las pruebas, asegúrese de probar cada nueva característica proporcionada por AMA, como el hospedaje múltiple de Linux, el filtrado de eventos de Windows, etc.

    • Planee el lanzamiento de los agentes AMA en el entorno de producción según el perfil de riesgo y los procesos de cambio de su organización.

  4. Lleve a cabo el lanzamiento del nuevo agente en el entorno de producción y ejecute una prueba final de la funcionalidad de AMA.

  5. Desconecte los conectores de datos que se basan en el conector heredado, como los eventos de seguridad con MMA. Deje en ejecución el nuevo conector, por ejemplo, los eventos de seguridad de Windows con AMA.

    Aunque puede hacer que tanto los agentes MMA/OMS heredados como los agentes AMA se ejecuten en paralelo, evite los costos y los datos duplicados asegurándose de que cada origen de datos usa un solo agente para enviar datos a Microsoft Sentinel.

  6. Compruebe el área de trabajo de Microsoft Sentinel para asegurarse de que todos los flujos de datos se hayan reemplazado con los nuevos conectores basados en AMA.

  7. Desinstale el agente heredado. Para más información, consulte Administrar y mantener el agente de Log Analytics para Windows y Linux.

Preguntas más frecuentes

Las siguientes preguntas más frecuentes abordan problemas específicos de la migración de AMA con Microsoft Sentinel. Para más información, consulte también las preguntas más frecuentes sobre la migración de AMA en la documentación de Azure Monitor.

¿Qué ocurre si se ejecutan MMA/OMS y AMA en paralelo en la implementación de Microsoft Sentinel?

Los agentes AMA y MMA/OMS pueden coexistir en la misma máquina. Si ambos envían datos desde el mismo origen de datos a un área de trabajo de Microsoft Sentinel al mismo tiempo desde un único host, se producirán eventos duplicados y cargos por la ingesta doble.

Para el lanzamiento de producción, se recomienda configurar un agente MMA/OMS o AMA para cada origen de datos. Para solucionar cualquier problema de duplicación, consulte las preguntas más frecuentes pertinentes en la documentación de Azure Monitor.

AMA aún no tiene las características que mi implementación de Microsoft Sentinel necesita para funcionar. ¿Aún así debo migrar?

El agente de Log Analytics heredado se retirará el 31 de agosto de 2024.

Se recomienda mantenerse al día con las nuevas características que se lanzan para AMA lo largo del tiempo, ya que alcanzará la paridad con MMA/OMS. El objetivo es migrar tan pronto como las características que necesita para ejecutar la implementación de Microsoft Sentinel estén disponibles en AMA.

Aunque puede ejecutar MMA y AMA simultáneamente, es posible que desee migrar cada conector, de uno en uno, mientras ejecuta ambos agentes.

Pasos siguientes

Para más información, consulte: