Partager via


Migration AMA pour Microsoft Sentinel

Cet article décrit le processus de migration vers l’agent Azure Monitor (AMA) lorsque vous disposez d’un agent Log Analytics (MMA/OMS) existant et que vous utilisez Microsoft Sentinel.

L’agent Log Analytics est mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de migrer vers l’AMA.

Prérequis

  • Commencez par la documentation Azure Monitor, qui fournit une comparaison d’agents et des informations générales pour ce processus de migration. Les détails et les différences présentés dans cet article sont spécifiques à Microsoft Sentinel.

Migrer vers l’agent Azure Monitor

Chaque organisation a ses propres métriques de réussite et processus de migration interne. Cette section fournit les éléments à prendre en considération lors de la migration de l’agent MMA/OMS Log Analytics vers AMA, en particulier pour Microsoft Sentinel.

Incluez les étapes suivantes dans votre processus de migration :

  1. Vérifiez que vous avez examiné les conditions préalables nécessaires et d’autres considérations comme documentés dans la documentation Azure Monitor. Pour plus d’informations, consultez Avant de commencer.

  2. Exécutez une preuve de concept pour tester la façon dont AMA envoie des données à Microsoft Sentinel, idéalement dans un environnement de développement ou de bac à sable.

    1. Dans Microsoft Sentinel, installez la solution Sécurité Windows Events Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

    2. Pour connecter vos machines Windows au connecteur d’événements Sécurité Windows, commencez par les événements Sécurité Windows via la page connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Connexions basées sur un agent Windows.

    3. Poursuivez avec les événements de sécurité via la page du connecteur de données de l’agent hérité. Sous l’onglet Instructions, sous l’étape 2>de configuration>, sélectionnez Aucun des événements à diffuser. Votre système est configuré de manière à ce que vous ne receviez aucun événement de sécurité via MMA/OMS, mais les autres sources de données qui reposent sur cet agent continueront de fonctionner. Cette étape affecte toutes les machines rendant compte à votre espace de travail Log Analytics actuel.

    Important

    L’ingestion de données provenant de la même source avec deux types d’agents différents entraîne le doublement des frais d’ingestion et des événements dupliqués dans l’espace de travail Microsoft Sentinel.

    Si vous avez besoin d’exécuter les deux connecteurs de données simultanément, nous vous recommandons de le faire uniquement pendant une durée limitée dans le cadre d’une analyse comparative (« benchmarking »), idéalement dans un espace de travail de test distinct.

  3. Mesurez la réussite de votre preuve de concept.

    Pour faciliter cette étape, utilisez le classeur Suivi de migration AMA. Celui-ci présente les serveurs rendant compte à vos espaces de travail et indique si l’agent MMA hérité, l’agent MMA ou les deux sont installés. Vous pouvez également utiliser ce classeur pour afficher les DCR qui collectent les événements de vos machines et les événements collectés.

    Veillez à sélectionner votre abonnement et votre groupe de ressources en haut du classeur pour afficher les données de votre environnement. Par exemple :

    Capture d’écran du classeur de suivi de migration AMA.

    Pour plus d’informations, consultez Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.

    Les critères de réussite doivent inclure une analyse statistique et une comparaison des données quantitatives ingérées par les agents MMA/OMS et AMA sur le même hôte :

    • Mesurez votre réussite sur une période prédéfinie qui représente une charge de travail normale pour votre environnement.

    • Lors des tests, veillez à tester chaque nouvelle fonctionnalité fournie par AMA, comme le multihébergement Linux, le filtrage d’événements Windows, etc.

    • Planifiez le lancement des agents AMA dans votre environnement de production en fonction du profil de risque et des processus de changement de votre organisation.

  4. Lancez le nouvel agent dans votre environnement de production et exécutez un test final de la fonctionnalité AMA.

  5. Déconnectez tous les connecteurs de données qui reposent sur le connecteur hérité, comme Événements de sécurité avec MMA. Laissez le nouveau connecteur, par exemple Événements de sécurité Windows avec AMA, en cours d’exécution.

    Bien que les agents MMA/OMS hérités et AMA puissent s’exécuter en parallèle, vous pouvez éviter le doublement des coûts et la duplication des données en vérifiant que chaque source de données utilise un seul agent pour envoyer les données à Microsoft Sentinel.

  6. Dans votre espace de travail Microsoft Sentinel, vérifiez que tous vos flux de données ont été remplacés par de nouveaux connecteurs basés sur AMA.

  7. Désinstallez l’agent hérité. Pour plus d’informations, consultez Gérer l’agent Azure Log Analytics.

Pour votre déploiement de production, nous vous recommandons de configurer l’AMA pour chaque source de données. Pour résoudre les problèmes de duplication, consultez les questions appropriées du FAQ dans la documentation Azure Monitor.

Pour plus d’informations, consultez l’article suivant :