Migration AMA pour Microsoft Sentinel
Cet article décrit le processus de migration vers l’agent Azure Monitor (AMA) lorsque vous disposez d’un agent Log Analytics (MMA/OMS) existant et que vous utilisez Microsoft Sentinel.
Important
L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA).
Prérequis
Commencez par passer en revue la documentation Azure Monitor. Vous y trouverez un comparatif des agents et des informations générales sur ce processus de migration.
Les détails et les différences présentés dans cet article sont spécifiques à Microsoft Sentinel.
Analyse des écarts entre les agents
Les tableaux suivants présentent des analyses d’écart pour les types de journaux qui reposent actuellement sur la collecte de données basée sur un agent pour Microsoft Sentinel. Cela sera mis à jour à mesure que la prise en charge d’AMA augmente vers une parité avec l’agent Log Analytics.
Journaux Windows
| Type de journal/support | Prise en charge de l’agent Azure Monitor | Prise en charge de l’agent Log Analytics |
|---|---|---|
| Événements de sécurité | Connecteur de données d’Événements de sécurité Windows | Connecteur de données Événements de sécurité Windows (hérité) |
| Filtrage par ID d’événement de sécurité | Connecteur de données d’Événements de sécurité Windows (agent Azure Monitor) | - |
| Filtrage par ID d’événement | Collecte uniquement | - |
| Transfert d’événements Windows | Événements transférés par Windows | - |
| Journaux du pare-feu Windows | - | Connecteur de données du pare-feu Windows |
| Compteurs de performances | Collecte uniquement | Collecte uniquement |
| Journaux des événements Windows (système) | Collecte uniquement | Collecte uniquement |
| Journaux personnalisés (texte) | Collecte uniquement | Collecte uniquement |
| Journaux d’activité IIS | Collecte uniquement | Collecte uniquement |
| Multihébergement | Collecte uniquement | Collecte uniquement |
| Journaux d’applications et de services | Collecte uniquement | Collecte uniquement |
| Sysmon | Collecte uniquement | Collecte uniquement |
| Journaux DNS | Serveurs DNS Windows via le connecteur AMA (préversion publique) | Connecteur serveur DNS Windows (préversion publique) |
Important
L’agent Azure Monitor fournit un débit 25 % supérieur à celui des agents Log Analytics hérités. Migrez vers les nouveaux connecteurs AMA pour obtenir des performances plus élevées, en particulier si vous utilisez vos serveurs comme redirecteurs de journaux pour les événements de sécurité Windows ou les événements transférés.
Journaux Linux
| Type de journal/support | Prise en charge de l’agent Azure Monitor | Prise en charge de l’agent Log Analytics |
|---|---|---|
| Syslog | Collecte uniquement | Connecteur de données Syslog |
| CEF (Common Event Format) | CEF via le connecteur de données AMA | Connecteur de données CEF |
| Sysmon | Collecte uniquement | Collecte uniquement |
| Journaux personnalisés (texte) | Collecte uniquement | Collecte uniquement |
| Multihébergement | Collecte uniquement | - |
Plan de migration recommandé
Chaque organisation a ses propres métriques de réussite et processus de migration interne. Cette section fournit les éléments à prendre en considération lors de la migration de l’agent MMA/OMS Log Analytics vers AMA, en particulier pour Microsoft Sentinel.
Incluez les étapes suivantes dans votre processus de migration :
Veillez à passer en revue les prérequis nécessaires et les autres considérations, comme indiqué ici dans la documentation Azure Monitor.
Exécutez une preuve de concept pour tester la façon dont AMA envoie des données à Microsoft Sentinel, idéalement dans un environnement de développement ou de bac à sable.
Pour connecter vos ordinateurs Windows au connecteur Événements de sécurité Windows, accédez pour commencer à la page du connecteur de données Événements de sécurité Windows via AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Connexions basées sur un agent Windows.
Accédez à la page du connecteur de données Événements de sécurité via l’ancien agent. Sous l’onglet Instructions, sous Configuration> Étape 2. Sélectionnez les événements à diffuser, sélectionnez Aucun. Votre système est configuré de manière à ce que vous ne receviez aucun événement de sécurité via MMA/OMS, mais les autres sources de données qui reposent sur cet agent continueront de fonctionner. Cette étape affecte toutes les machines rendant compte à votre espace de travail Log Analytics actuel.
Important
L’ingestion de données provenant de la même source avec deux types d’agents différents entraîne le doublement des frais d’ingestion et des événements dupliqués dans l’espace de travail Microsoft Sentinel.
Si vous avez besoin d’exécuter les deux connecteurs de données simultanément, nous vous recommandons de le faire uniquement pendant une durée limitée dans le cadre d’une analyse comparative (« benchmarking »), idéalement dans un espace de travail de test distinct.
Mesurez la réussite de votre preuve de concept.
Pour faciliter cette étape, utilisez le classeur Suivi de migration AMA. Celui-ci présente les serveurs rendant compte à vos espaces de travail et indique si l’agent MMA hérité, l’agent MMA ou les deux sont installés. Vous pouvez également utiliser ce classeur pour afficher les DCR qui collectent les événements de vos machines et les événements collectés.
Par exemple :
Les critères de réussite doivent inclure une analyse statistique et une comparaison des données quantitatives ingérées par les agents MMA/OMS et AMA sur le même hôte :
Mesurez votre réussite sur une période prédéfinie qui représente une charge de travail normale pour votre environnement.
Lors des tests, veillez à tester chaque nouvelle fonctionnalité fournie par AMA, comme le multihébergement Linux, le filtrage d’événements Windows, etc.
Planifiez le lancement des agents AMA dans votre environnement de production en fonction du profil de risque et des processus de changement de votre organisation.
Lancez le nouvel agent dans votre environnement de production et exécutez un test final de la fonctionnalité AMA.
Déconnectez tous les connecteurs de données qui reposent sur le connecteur hérité, comme Événements de sécurité avec MMA. Laissez le nouveau connecteur, par exemple Événements de sécurité Windows avec AMA, en cours d’exécution.
Bien que les agents MMA/OMS hérités et AMA puissent s’exécuter en parallèle, vous pouvez éviter le doublement des coûts et la duplication des données en vérifiant que chaque source de données utilise un seul agent pour envoyer les données à Microsoft Sentinel.
Dans votre espace de travail Microsoft Sentinel, vérifiez que tous vos flux de données ont été remplacés par de nouveaux connecteurs basés sur AMA.
Désinstallez l’agent hérité. Pour plus d’informations, consultez Gérer l’agent Azure Log Analytics.
FAQ
Le FAQ suivant traite de problèmes spécifiques à la migration AMA avec Microsoft Sentinel. Pour plus d’informations, consultez également le FAQ sur la migration AMA et le FAQ sur l’agent Azure Monitor dans la documentation Azure Monitor.
Que se passe-t-il si j’exécute MMA/OMS et AMA en parallèle dans mon déploiement Microsoft Sentinel ?
Les agents AMA et MMA/OMS peuvent coexister sur le même ordinateur. S’ils envoient tous les deux des données à partir de la même source de données à un espace de travail Microsoft Sentinel, en même temps et à partir d’un seul hôte, vous vous retrouverez avec des événements dupliqués et un doublement des frais d’ingestion.
Pour votre lancement en production, nous vous recommandons de configurer un agent MMA/OMS ou AMA pour chaque source de données. Pour résoudre les problèmes de duplication, consultez les questions appropriées du FAQ dans la documentation Azure Monitor.
AMA n’a pas encore les fonctionnalités nécessaires à mon déploiement Microsoft Sentinel pour fonctionner. Dois-je quand même procéder à la migration ?
L’agent Log Analytics hérité sera mis hors service le 31 août 2024.
Nous vous recommandons de vous tenir au courant des nouvelles fonctionnalités publiées pour AMA au fil du temps, l’objectif étant la parité avec MMA/OMS. Essayez de migrer dès que les fonctionnalités dont vous avez besoin pour exécuter votre déploiement Microsoft Sentinel sont disponibles dans AMA.
Bien que vous puissiez exécuter MMA et AMA simultanément, nous vous conseillons de migrer chaque connecteur, un à la fois, tout en exécutant les deux agents.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :