Megosztás a következőn keresztül:

AMA migrálása a Microsoft Sentinelhez

  • Cikk

Ez a cikk az Azure Monitor-ügynökre (AMA) való migrálási folyamatot ismerteti, ha meglévő, régi Log Analytics-ügynökkel (MMA/OMS) rendelkezik, és a Microsoft Sentinellel dolgozik.

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy migráljon az AMA-ba.

Előfeltételek

  • Kezdje az Azure Monitor dokumentációjával, amely ügynök-összehasonlítást és általános információkat biztosít ehhez a migrálási folyamathoz. Ez a cikk a Microsoft Sentinel konkrét részleteit és különbségeit ismerteti.

Migrálás az Azure Monitor-ügynökbe

Minden szervezet különböző sikermetrikákkal és belső migrálási folyamatokkal rendelkezik. Ez a szakasz javasolt útmutatást nyújt a Log Analytics MMA/OMS-ügynökről az AMA-ba való migráláskor, különösen a Microsoft Sentinel esetében.

Adja meg a következő lépéseket a migrálási folyamat során:

  1. Győződjön meg arról, hogy áttekintette a szükséges előfeltételeket és egyéb szempontokat az Azure Monitor dokumentációjában leírtak szerint. További információt a Kezdés előtt című témakörben talál.

  2. Futtasson egy megvalósíthatósági igazolást annak teszteléséhez, hogy az AMA hogyan küld adatokat a Microsoft Sentinelnek, ideális esetben fejlesztési vagy tesztkörnyezeti környezetben.

    1. A Microsoft Sentinelben telepítse a Windows biztonság Események Microsoft Sentinel megoldást. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

    2. A Windows-gépek Windows biztonság Esemény-összekötőhöz való csatlakoztatásához kezdje a Windows biztonság eseményeket a Microsoft Sentinel AMA-adatösszekötő oldalán. További információ: Windows-ügynökalapú kapcsolatok.

    3. Folytassa a biztonsági eseményeket az örökölt ügynök adatösszekötő oldalán. Az Utasítások lapon, a 2>. konfigurációs>lépésben válassza ki a streamelni kívánt eseményeket, és válassza a Nincs lehetőséget. Ez úgy konfigurálja a rendszert, hogy ne kapjon biztonsági eseményeket az MMA/OMS-en keresztül, de az ügynökre támaszkodó egyéb adatforrások továbbra is működni fognak. Ez a lépés az aktuális Log Analytics-munkaterületre jelentett összes gépet érinti.

    Fontos

    Ha ugyanazon forrásból tölt be adatokat két különböző típusú ügynökkel, az dupla betöltési díjakat és ismétlődő eseményeket eredményez a Microsoft Sentinel-munkaterületen.

    Ha mindkét adatösszekötőt egyidejűleg kell futtatnia, azt javasoljuk, hogy ezt csak korlátozott ideig végezze el egy teljesítményértékelési vagy tesztelési összehasonlító tevékenységhez, ideális esetben egy külön teszt-munkaterületen.

  3. Mérje fel a megvalósíthatósági igazolás sikerességét.

    A lépéshez használja az AMA migrálási nyomkövető munkafüzetét, amely megjeleníti a munkaterületeknek jelentést küldő kiszolgálókat, valamint azt, hogy telepítve van-e az örökölt MMA, az AMA vagy mindkét ügynök. Ezzel a munkafüzetben megtekintheti azokat a DCR-eket is, amelyek eseményeket gyűjtenek a gépekről, és hogy milyen eseményeket gyűjtenek.

    A környezet adatainak megjelenítéséhez mindenképpen válassza ki az előfizetést és az erőforráscsoportot a munkafüzet tetején. Példa:

    Képernyőkép az AMA migráláskövető munkafüzetéről.

    További információ: Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben.

    A sikerességi kritériumoknak tartalmazniuk kell az MMA/OMS és az AMA-ügynökök által ugyanazon a gazdagépen betöltött mennyiségi adatok statisztikai elemzését és összehasonlítását:

    • A sikeresség mérése előre meghatározott időszakban, amely a környezet normál számítási feladatait jelöli.

    • A tesztelés során mindenképpen tesztelje az AMA által biztosított új funkciókat, például a Linux multi-homingot, a Windows eseményszűrést stb.

    • Tervezze meg az AMA-ügynökök üzembe helyezését az éles környezetben a szervezet kockázati profiljának és a változási folyamatoknak megfelelően.

  4. Hajtsa végre az új ügynököt az éles környezetben, és futtassa az AMA-funkciók végső tesztelését.

  5. Válassza le az örökölt összekötőre támaszkodó adatösszekötőket, például a biztonsági eseményeket az MMA-val. Hagyja futni az új összekötőt, például Windows biztonság eseményeket az AMA-val.

    Bár az örökölt MMA/OMS és az AMA-ügynökök is párhuzamosan futhatnak, megakadályozhatja az ismétlődő költségeket és az adatokat, ha meggyőződik arról, hogy minden adatforrás csak egy ügynököt használ az adatok Microsoft Sentinelbe való küldéséhez.

  6. Ellenőrizze a Microsoft Sentinel-munkaterületen, hogy az összes adatfolyamot lecserélték-e az új AMA-alapú összekötőkkel.

  7. Távolítsa el az örökölt ügynököt. További információ: Az Azure Log Analytics-ügynök kezelése.

Az éles üzembe helyezéshez javasoljuk, hogy minden adatforráshoz konfigurálja az AMA-t. A duplikációval kapcsolatos problémák megoldásához tekintse meg az Azure Monitor dokumentációjának megfelelő gyakori kérdéseket.

Kapcsolódó tartalom

További információk: