Partager via

Préparer la mise hors service de l’agent Log Analytics

  • Article

L’agent Log Analytics, également appelé Microsoft Monitoring Agent (MMA), sera mis hors service en août 2024. Par conséquent, les plans Defender pour serveurs et Defender pour SQL sur les machines de Microsoft Defender pour le cloud seront mis à jour et les fonctionnalités qui s’appuient sur l’agent Log Analytics seront repensées.

Cet article récapitule les plans de mise hors service de l’agent.

Préparation de Defender pour serveurs

Le plan Defender pour serveurs utilise l’agent Log Analytics en disponibilité générale (GA) et dans AMA pour certaines fonctionnalités (en préversion). Voici ce qui se passera désormais avec ces fonctionnalités :

Pour simplifier l’intégration, toutes les fonctionnalités et capacités de sécurité de Defender pour serveurs seront fournies avec un seul agent (Microsoft Defender pour point de terminaison), complété par l’analyse sans agent des machines, sans aucune dépendance sur l’agent Log Analytics ou AMA. Notez les points suivants :

  • Les fonctionnalités Defender pour serveurs basées sur AMA sont actuellement en préversion et ne seront pas publiées en disponibilité générale. 
  • Les fonctionnalités en préversion qui s’appuient sur AMA restent prises en charge jusqu’à ce qu’une autre version de la fonctionnalité soit fournie, qui s’appuiera sur l’intégration de Defender pour point de terminaison ou la fonctionnalité d’analyse sans agent des machines.
  • En activant l’intégration de Defender pour point de terminaison et la fonctionnalité d’analyse sans agent des machines avant la dépréciation, votre déploiement Defender pour serveurs sera pris en charge et à jour.

Caractéristiques de la fonctionnalité

Le tableau suivant résume la façon dont les fonctionnalités Defender pour serveurs seront fournies. La plupart des fonctionnalités sont déjà en disponibilité générale à l’aide de l’intégration de Defender pour point de terminaison ou de l’analyse des machines sans agent. Le reste des fonctionnalités sera disponible en disponibilité générale au moment de la mise hors service de MMA ou sera déconseillé.

Fonctionnalité Prise en charge actuelle Nouvelle prise en charge Nouvel état de l’expérience
Intégration de Defender pour point de terminaison pour les machines Windows de bas niveau (Windows Server 2016/2012 R2) Capteur Defender pour point de terminaison hérité, basé sur l’agent Log Analytics Intégration de l’agent unifié - La fonctionnalité avec l’agent unifié est en disponibilité générale.
- Les fonctionnalités avec le capteur Defender pour point de terminaison hérité à l’aide de l’agent Log Analytics seront déconseillées en août 2024.
Détection des menaces au niveau du système d’exploitation Agent Log Analytics Intégration de l’agent Defender pour point de terminaison La fonctionnalité avec l’agent Defender pour point de terminaison est en disponibilité générale.
Contrôles d’application adaptative Agent Log Analytics (GA), AMA (préversion) --- La fonctionnalité de contrôle d’application adaptative sera déconseillée en août 2024.
Recommandations pour la détection de la protection des points de terminaison Recommandations disponibles via le plan de gestion de la posture de sécurité cloud (CSPM, Cloud Security Posture Management) de base et Defender pour serveurs, avec l’agent Log Analytics (GA), AMA (préversion) Analyse des machines sans agent - Les fonctionnalités avec l’analyse des machines sans agent seront publiées en préversion en février 2024 dans le cadre du plan Defender pour serveurs Plan 2 et du plan CSPM Defender.
– Les machines virtuelles Azure, les instances GCP (Google Cloud Platform) et les instances AWS (Amazon Web Services) seront prises en charge. Les machines locales ne sont pas prises en charge.
Recommandation de mise à jour du système d’exploitation manquante Recommandations disponibles dans les plans CSPM de base et Defender pour serveurs avec l’agent Log Analytics. Intégration à Update Manager, Microsoft Les nouvelles recommandations basées sur l’intégration d’Azure Update Manager sont en disponibilité générale, sans dépendances d’agent.
Configurations incorrectes du système d’exploitation (Microsoft Cloud Security Benchmark) Recommandations disponibles dans les plans CSPM de base et Defender pour serveurs avec l’agent Log Analytics, l’agent Guest Configuration (préversion). Microsoft Defender Vulnerability Management Premium, dans le cadre du plan 2 de Defender pour serveurs. - Les fonctionnalités basées sur l’intégration à Microsoft Defender Vulnerability Management Premium seront disponibles en préversion vers avril 2024.
- Les fonctionnalités de l’agent Log Analytics seront déconseillées en août 2024
- La fonctionnalité avec l’agent Guest Configuration (préversion) est déconseillée lorsque la gestion des vulnérabilités de Microsoft Defender est disponible.
– La prise en charge de cette fonctionnalité pour Docker Hub et Azure Virtual Machine Scale Sets sera déconseillée en août 2024.
Supervision de l’intégrité des fichiers Agent Log Analytics, AMA (préversion) Intégration de l’agent Defender pour point de terminaison Les fonctionnalités de l’agent Defender pour point de terminaison seront disponibles vers avril 2024.
- Les fonctionnalités de l’agent Log Analytics seront déconseillées en août 2024.
- Les fonctionnalités avec AMA seront déconseillées lorsque l’intégration de Defender pour point de terminaison est publiée.

L’avantage de 500 Mo pour l’ingestion des données sur les tables définies reste pris en charge via l’agent AMA pour les machines sous abonnements couverts par Defender pour serveurs Plan 2. Chaque machine n’est éligible à l’avantage qu’une seule fois, même si l’agent Log Analytics et l’agent Azure Monitor y sont installés. En savoir plus sur le déploiement d’AMA.

Pour les serveurs SQL sur les machines, nous vous recommandons de migrer vers le processus de provisionnement automatique d’Azure Monitoring Agent (AMA) ciblé par SQL Server.

Expérience des recommandations de protection de point de terminaison – modifications et conseils de migration

La découverte et les suggestions de point de terminaison sont actuellement fournies par les plans Defender pour le cloud CSPM de base et Defender pour serveurs avec l’agent Log Analytics en disponibilité générale ou en préversion via l’AMA. Cette expérience sera remplacée par des recommandations de sécurité collectées à l’aide de l’analyse automatique sans agent. 

Les recommandations de protection des points de terminaison sont construites en deux étapes. La première étape est la découverte d’une solution de protection évolutive des points de terminaison. La deuxième est l’évaluation de la configuration de la solution. Les tableaux suivants fournissent des détails sur les expériences actuelles et nouvelles pour chaque étape.

Découvrez comment gérer les nouvelles recommandations de détection et de réponse de point de terminaison (sans agent).

Solution de protection évolutive des points de terminaison : découverte

Zone Expérience actuelle (basée sur AMA/MMA) Nouvelle expérience (basée sur l’analyse des machines sans agent)
Qu’est-ce qui est nécessaire pour classer une ressource comme saine ? Un anti-virus est installé. Une solution de détection et de réponse de point de terminaison est opérationnelle.
Qu’est-ce qui est nécessaire pour obtenir la recommandation ? Agent Log Analytics Analyse des machines sans agent
Quels plans sont pris en charge ? CSPM de base (gratuit)
- Defender pour serveurs (Plan 1 et Plan 2)		 - Defender CSPM
- Defender pour serveurs (Plan 2)
Quel correctif est disponible ? Installer le logiciel anti-programme malveillant de Microsoft. Installez Defender pour point de terminaison sur les ordinateurs/abonnements sélectionnés.

Solution de protection évolutive des points de terminaison : évaluation de la configuration

Zone Expérience actuelle (basée sur AMA/MMA) Nouvelle expérience (basée sur l’analyse des machines sans agent)
Les ressources sont classées comme non saines si une ou plusieurs des vérifications de sécurité ne sont pas saines. Trois vérifications de sécurité :
- La protection en temps réel est désactivée
- Les signatures sont obsolètes.
– L’analyse rapide et l’analyse complète ne sont pas exécutées pendant sept jours.		 Trois vérifications de sécurité :
- Un antivirus est désactivé ou partiellement configuré
- Les signatures sont obsolètes
– L’analyse rapide et l’analyse complète ne sont pas exécutées pendant sept jours.
Conditions préalables à l’obtention de la recommandation Une solution anti-programme malveillant est opérationnelle Une solution de protection évolutive des points de terminaison est en place.

Quelles recommandations sont déconseillées ?

Le tableau suivant résume le calendrier des recommandations déconseillées et remplacées.

Recommandation Agent Ressources prises en charge Date d’obsolescence Recommandation de remplacement
Endpoint Protection doit être installé sur vos machines (public) MMA/AMA Azure et non Azure (Windows et Linux) Mars 2024 Nouvelle recommandation sans agent
Les problèmes d’intégrité Endpoint Protection doivent être résolus sur vos machines (public) MMA/AMA Azure (Windows) Mars 2024 Nouvelle recommandation sans agent
Les problèmes de défaillance de la protection des points de terminaison sur les groupes de machines virtuelles identiques devraient être résolus. MMA Groupes de machines virtuelles identiques Azure Août 2024 Aucun remplacement
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques MMA Groupes de machines virtuelles identiques Azure Août 2024 Aucun remplacement
La solution de protection des points de terminaison doit être présente sur les machines MMA Ressources non Azure (Windows) Août 2024 Aucun remplacement
Installer la solution de protection de point de terminaison sur vos machines MMA Azure et non Azure (Windows) Août 2024 Nouvelle recommandation sans agent
Les problèmes d’intégrité Endpoint Protection sur les machines doivent être résolus MMA Azure et non Azure (Windows et Linux) Août 2024 Nouvelle recommandation sans agent.

La nouvelle expérience de recommandations basée sur l’analyse sans agent des machines prend en charge les systèmes d’exploitation Windows et Linux sur plusieurs ordinateurs multiclouds.

Comment le remplacement fonctionnera-t-il ?

  • Les recommandations actuelles fournies par l’agent Log Analytics ou l’AMA seront déconseillées au fil du temps.
  • Certaines de ces recommandations existantes seront remplacées par de nouvelles recommandations basées sur l’analyse des machines sans agent.
  • Les recommandations actuellement en disponibilité générale restent en place jusqu’à la mise hors service de l’agent Log Analytics.
  • Les recommandations actuellement en préversion seront remplacées lorsque la nouvelle recommandation est disponible en préversion.

Qu’est-ce qui se passe avec le score sécurisé ?

  • Les recommandations actuellement en disponibilité générale continueront d’affecter le degré de sécurisation. 
  • Les nouvelles recommandations actuelles et à venir se trouvent sous le même contrôle de Microsoft Cloud Security Benchmark afin que le degré de sécurisation ne soit pas doublement impacté.

Comment faire pour préparer les nouvelles recommandations ?

  • Vérifiez que l’analyse des machines sans agent est activée dans le cadre de Defender pour serveurs Plan 2 ou Defender CSPM.
  • Pour une expérience optimale, nous vous recommandons de supprimer les recommandations déconseillées lorsque la recommandation de remplacement en disponibilité générale devient disponible, si cela convient à votre environnement. Pour ce faire, désactivez la recommandation dans l’Initiative intégrée Defender pour le cloud dans Azure Policy.

Expérience de surveillance de l’intégrité des fichiers – modifications et conseils de migration

Microsoft Defender pour serveurs Plan 2 offre désormais une nouvelle solution de surveillance de l’intégrité des fichiers (FIM) grâce à l’intégration de Microsoft Defender for Endpoint (MDE). Une fois que FIM alimenté par MDE est public, l’expérience FIM alimentée par AMA dans le portail Defender pour le cloud sera supprimée. En octobre, FIM alimenté par MMA sera déprécié.

Migration de FIM via AMA

Si vous utilisez actuellement FIM sur AMA :

  • L’intégration de nouveaux abonnements ou serveurs à FIM basés sur AMA et l’extension de suivi des modifications, ainsi que l’affichage des modifications, ne seront plus disponibles via le portail Defender pour le cloud à compter du 30 mai.

  • Si vous souhaitez continuer à consommer les événements FIM collectés par AMA, vous pouvez vous connecter manuellement à l’espace de travail concerné et afficher les modifications dans la table de suivi des modifications à l’aide de la requête suivante :

    ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType

  • Si vous souhaitez continuer à intégrer de nouvelles étendues ou configurer des règles de surveillance, vous pouvez utiliser manuellement les règles de connexion de données pour configurer ou personnaliser différents aspects de la collecte de données.

  • Microsoft Defender pour le cloud recommande de désactiver FIM sur AMA et d’intégrer votre environnement à la nouvelle version FIM basée sur Defender pour point de terminaison lors de la publication.

Désactivation de FIM sur AMA

Pour désactiver FIM sur AMA, supprimez la solution Azure Change Tracking. Pour plus d’informations, consultez Supprimer la solution ChangeTracking.

Vous pouvez également supprimer les règles de collecte de données de suivi des modifications de fichier associées (DCR). Pour plus d’informations, consultez Remove-AzDataCollectionRuleAssociation ou Remove-AzDataCollectionRule.

Après avoir désactivé la collection d’événements de fichier à l’aide de l’une des méthodes ci-dessus :

  • Les nouveaux événements cesseront d’être collectés sur l’étendue sélectionnée.
  • Les événements historiques qui ont déjà été collectés restent stockés dans l’espace de travail approprié sous la table ConfigurationChange dans la section Change Tracking. Ces événements restent disponibles dans l’espace de travail approprié en fonction de la période de rétention définie dans cet espace de travail. Pour plus d’informations, consultez Fonctionnement de la rétention et de l’archivage.

Migration de FIM via Log Analytics Agent (MMA)

Si vous utilisez actuellement FIM sur l’agent Log Analytics (MMA) :

  • La surveillance de l’intégrité des fichiers basée sur l’agent Log Analytics (MMA) sera déconseillée en octobre 2024.
  • Microsoft Defender pour le cloud recommande de désactiver FIM sur MMA et d’intégrer votre environnement à la nouvelle version FIM basée sur Defender pour point de terminaison lors de la publication.

Désactivation de FIM sur MMA

Pour désactiver FIM sur MMA, supprimez la solution Azure Change Tracking. Pour plus d’informations, consultez Supprimer la solution ChangeTracking.

Après avoir désactivé la collection d’événements de fichier :

  • Les nouveaux événements cesseront d’être collectés sur l’étendue sélectionnée.
  • Les événements historiques qui ont déjà été collectés restent stockés dans l’espace de travail approprié sous la table ConfigurationChange dans la section Change Tracking. Ces événements restent disponibles dans l’espace de travail approprié en fonction de la période de rétention définie dans cet espace de travail. Pour plus d’informations, consultez Fonctionnement de la rétention et de l’archivage.

Préparation de Defender pour SQL sur des machines

Vous pouvez en savoir plus sur le Plan de retrait de l'agent Log Analytics par Defender pour SQL Server sur les machines.

Si vous utilisez le processus d’approvisionnement automatique de l’agent Log Analytics/de l’agent Azure Monitor actuel, vous devez migrer vers le nouveau processus d’approvisionnement automatique d’Azure Monitoring Agent pour SQL Server sur les machines. Le processus de migration est transparent et fournit une protection continue pour toutes les machines.

Migrer vers le processus de provisionnement automatique AMA ciblé sur SQL Server

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  4. Sélectionnez l’abonnement approprié.

  5. Sous le plan Bases de données, sélectionnez Action requise.

    Capture d’écran montrant où sélectionner Action requise.

  6. Dans la fenêtre contextuelle, sélectionnez Activer.

    Capture d’écran montrant la sélection de l’activation dans la fenêtre contextuelle.

  7. Sélectionnez Enregistrer.

Une fois le processus d’approvisionnement automatique AMA ciblé par le serveur SQL activé, vous devez désactiver le processus d’approvisionnement automatique de l’agent Log Analytics/Azure Monitor et désinstaller MMA sur tous les serveurs SQL :

Pour désactiver l’agent Log Analytics :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

  3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

  4. Sélectionnez l’abonnement approprié.

  5. Sous le plan Base de données, sélectionnez Paramètres.

  6. Basculez l’agent Log Analytics sur Désactivé.

    Capture d’écran montrant la désactivation de Log Analytics.

  7. Sélectionnez Continuer.

  8. Sélectionnez Enregistrer.

Planification de migration

Nous vous recommandons de planifier la migration de l’agent conformément aux exigences de votre entreprise. Le tableau récapitule nos conseils.

Utilisez-vous Defender pour serveurs ? Ces fonctionnalités Defender pour serveurs sont-elles requises en disponibilité générale : surveillance de l’intégrité des fichiers, recommandations de protection des points de terminaison, recommandations de base de référence de sécurité ? Utilisez-vous Defender pour les serveurs SQL sur des machines ou un regroupement de journaux AMA ? Plan de migration
Oui Oui Non 1. Activez l’intégration de Defender pour point de terminaison et l’analyse des machines sans agent.
2. Attendez la disponibilité générale de toutes les fonctionnalités avec la plateforme de l’alternative (vous pouvez utiliser la préversion antérieure).
3. Une fois les fonctionnalités en disponibilité générale, désactivez l’agent Log Analytics.
Non --- Non Vous pouvez supprimer l’agent Log Analytics maintenant.
Non --- Oui 1. Vous pouvez migrer vers l’approvisionnement automatique SQL pour AMA maintenant.
2. Désactivez l’agent Log Analytics/Azure Monitor.
Oui Oui Oui 1. Activez l’intégration de Defender pour point de terminaison et l’analyse des machines sans agent.
2. Vous pouvez utiliser l’agent Log Analytics et AMA côte à côte pour obtenir toutes les fonctionnalités en disponibilité générale. En savoir plus sur l’exécution des agents côte à côte.
3. Migrez vers l’approvisionnement automatique SQL pour AMA dans Defender pour SQL sur les machines. Vous pouvez également démarrer la migration de l’agent Log Analytics vers AMA en avril 2024.
4. Une fois la migration terminée, désactivez l’agent Log Analytics.
Oui No Oui 1. Activez l’intégration de Defender pour point de terminaison et l’analyse des machines sans agent.
2. Vous pouvez désormais migrer vers l’approvisionnement automatique SQL pour AMA dans Defender pour SQL sur les machines.
3. Désactivez l’agent Log Analytics.

Étape suivante

Changements à venir dans le plan et la stratégie Defender pour le cloud pour la dépréciation de l’agent Log Analytics