Share via

Felkészülés a Log Analytics-ügynök kivonására

  • Cikk

A Log Analytics-ügynök, más néven a Microsoft Monitoring Agent (MMA) 2024 augusztusában nyugdíjba vonul. Ennek eredményeképpen a Defender for Servers és a Defender for SQL a Felhőhöz készült Microsoft Defender-beli gépcsomagokon frissül, és a Log Analytics-ügynökre támaszkodó funkciók újra lesznek tervezve.

Ez a cikk az ügynök kivonási terveit foglalja össze.

A Defender előkészítése kiszolgálókhoz

A Defender for Servers csomag a Log Analytics-ügynököt használja általánosan elérhető (GA) és az AMA-ban bizonyos funkciókhoz (előzetes verzióban). A következő dolgok történnek a következő funkciókkal:

Az előkészítés egyszerűsítése érdekében a Defender for Servers összes biztonsági funkciója és képessége egyetlen ügynökkel (Végponthoz készült Microsoft Defender) lesz ellátva, amelyet ügynök nélküli gépvizsgálat egészít ki, anélkül, hogy a Log Analytics-ügynök vagy az AMA függősége lenne. Vegye figyelembe, hogy:

  • Az AMA-n alapuló Defender for Servers-funkciók jelenleg előzetes verzióban érhetők el, és nem jelennek meg a GA-ban. 
  • Az előzetes verzióban az AMA-ra támaszkodó funkciók mindaddig támogatottak maradnak, amíg meg nem ad egy másik verziót a szolgáltatásnak, amely a Defender for Endpoint integrációjára vagy az ügynök nélküli gép vizsgálatára fog támaszkodni.
  • Ha engedélyezi a Defender for Endpoint integrációját és az ügynök nélküli gép vizsgálatát az elavulás előtt, a Defender for Servers üzembe helyezése naprakész és támogatott lesz.

Funkciófunkciók

Az alábbi táblázat összefoglalja a Defender for Servers funkcióinak használatát. A legtöbb funkció már általánosan elérhető a Defender végpontintegrációhoz vagy az ügynök nélküli gép vizsgálatához. A többi funkció vagy elérhető lesz a ga-ban az MMA kivonásának idejére, vagy elavult lesz.

Szolgáltatás Aktuális támogatás Új támogatás Új felhasználói élmény állapota
Defender végpontintegráció alacsonyabb szintű Windows-gépekhez (Windows Server 2016/2012 R2) Legacy Defender for Endpoint sensor, a Log Analytics-ügynök alapján Egyesített ügynökintegráció - Az egyesített ügynökkel a ga funkció használható.
– Az örökölt Defender for Endpoint-érzékelővel a Log Analytics-ügynökkel való működése 2024 augusztusában megszűnik.
Operációsrendszer-szintű fenyegetésészlelés Log Analytics-ügynök A Defender for Endpoint-ügynök integrációja A Defender for Endpoint-ügynökkel a ga funkció működik.
Adaptív alkalmazásvezérlés Log Analytics-ügynök (GA), AMA (előzetes verzió) --- Az adaptív alkalmazásvezérlési funkció 2024 augusztusában elavultra van állítva.
Végpontvédelmi felderítési javaslatok Javaslatok, amelyek az foundational Cloud Security Posture Management (CSPM) csomagon és a Defender for Serversen keresztül érhetők el a Log Analytics-ügynök (GA), az AMA (előzetes verzió) használatával Ügynök nélküli gép vizsgálata – Az ügynök nélküli gépvizsgálattal rendelkező funkciók 2024 februárjában jelennek meg előzetes verzióban a Defender for Servers 2. csomagja és a Defender CSPM-csomag részeként.
– Az Azure-beli virtuális gépek, a Google Cloud Platform (GCP) és az Amazon Web Services (AWS) példányok támogatottak lesznek. A helyszíni gépek nem támogatottak.
Hiányzó operációsrendszer-frissítési javaslat Javaslatok elérhető az alapszintű CSPM és a Defender for Servers csomagban a Log Analytics-ügynök használatával. Integráció az Update Managerrel, Microsoft Az Azure Update Manager-integráción alapuló új javaslatok a GA, ügynökfüggőségek nélkül.
Operációsrendszer-konfigurációk (Microsoft Cloud Security Benchmark) Javaslatok, amelyek az alapszintű CSPM és a Defender for Servers csomagon keresztül érhetők el a Log Analytics-ügynök, a Vendégkonfigurációs ügynök (előzetes verzió) használatával. Microsoft Defender biztonságirés-kezelés prémium szintű, a Defender for Servers 2. csomagjának részeként. - A prémium Microsoft Defender biztonságirés-kezelés integráción alapuló funkciók 2024 áprilisa körül lesznek előzetes verzióban elérhetők.
– A Log Analytics-ügynökkel kapcsolatos funkciók 2024 augusztusában megszűnnek
– A vendégkonfigurációs ügynökkel (előzetes verzió) kapcsolatos funkciók elavultak lesznek, ha a Microsoft Defender biztonságirés-kezelés elérhető.
– A Docker-Hub és az Azure Virtuálisgép-méretezési csoportok szolgáltatás támogatása 2024 augusztusában megszűnik.
Fájlintegritás monitorozása Log Analytics-ügynök, AMA (előzetes verzió) A Defender for Endpoint-ügynök integrációja A Defender for Endpoint-ügynökkel kapcsolatos funkciók 2024 áprilisa körül lesznek elérhetők.
– A Log Analytics-ügynökkel kapcsolatos funkciók 2024 augusztusában megszűnnek.
– Az AMA funkciói elavultak lesznek a Defender for Endpoint-integráció megjelenésekor.

A meghatározott táblákon végzett adatbetöltés 500 MB-os előnye az AMA-ügynökön keresztül támogatott marad a Defender for Servers 2. csomag által lefedett előfizetések alá tartozó gépek esetében. Minden gép csak egyszer jogosult a kedvezményre, még akkor is, ha a Log Analytics-ügynök és az Azure Monitor-ügynök is telepítve van rajta. További információ az AMA üzembe helyezéséről.

A gépeken futó SQL-kiszolgálók esetében javasoljuk, hogy migráljon az SQL Server által célzott Azure Monitoring Agent (AMA) automatikus fejlesztési folyamatára.

Végpontvédelmi javaslatok – változások és migrálási útmutató

A végpontfelderítést és -javaslatokat jelenleg az Felhőhöz készült Defender alapszintű CSPM és a Defender for Servers csomag biztosítja a Log Analytics-ügynök használatával a GA-ban, vagy előzetes verzióban az AMA-n keresztül. Ezt a felhasználói élményt az ügynök nélküli gépvizsgálattal összegyűjtött biztonsági javaslatok váltják fel. 

A végpontvédelmi javaslatok két szakaszból állnak. Az első lépés egy végponti észlelés és reagálás megoldás felderítése. A második a megoldás konfigurációjának értékelése . Az alábbi táblázatok az egyes szakaszok aktuális és új felületeinek részleteit tartalmazzák.

Megtudhatja, hogyan kezelheti az új (ügynök nélküli) végponti észlelés és reagálás javaslatokat.

Végpontészlelés és válaszmegoldás – felderítés

Terület Jelenlegi tapasztalat (az AMA/MMA alapján) Új felület (ügynök nélküli gépi vizsgálat alapján)
Mi szükséges egy erőforrás kifogástalan állapotúként való besorolásához? Egy vírusirtó van a helyén. Egy végponti észlelés és reagálás megoldás van érvényben.
Mire van szükség a javaslat beszerzéséhez? Log Analytics-ügynök Ügynök nélküli gép vizsgálata
Milyen csomagok támogatottak? - Alapszintű CSPM (ingyenes)
- Defender for Servers Plan 1 és Plan 2		 - Defender CSPM
- Defender for Servers Plan 2
Milyen javítás érhető el? Telepítse a Microsoft kártevőirtót. Telepítse a Defender for Endpointt a kiválasztott gépekre/előfizetésekre.

Végpontészlelés és válaszmegoldás – konfigurációértékelés

Terület Jelenlegi tapasztalat (az AMA/MMA alapján) Új felület (ügynök nélküli gépi vizsgálat alapján)
Az erőforrások akkor minősülnek kifogástalan állapotúnak, ha egy vagy több biztonsági ellenőrzés nem kifogástalan. Három biztonsági ellenőrzés:
- A valós idejű védelem ki van kapcsolva
- Az aláírások elavultak.
- A gyors és a teljes vizsgálat sem hét napig fut.		 Három biztonsági ellenőrzés:
- A vírusirtó ki van kapcsolva vagy részben konfigurálva van
- Az aláírások elavultak
- A gyors és a teljes vizsgálat sem hét napig fut.
A javaslat beszerzésének előfeltételei Kártevőirtó megoldás a helyén Egy végponti észlelés és reagálás megoldás.

Mely javaslatok elavultak?

Az alábbi táblázat az elavult és lecserélt javaslatok ütemezését foglalja össze.

Ajánlás Ügynök Támogatott erőforrások Elavulási dátum Cserejavaslat
A végpontvédelmet telepíteni kell a gépekre (nyilvános) MMA/AMA Azure > nem Azure (Windows > Linux) 2024. március Új ügynök nélküli javaslat
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken (nyilvános) MMA/AMA Azure (Windows) 2024. március Új ügynök nélküli javaslat
A virtuálisgép-méretezési csoportok végpontvédelmi állapotának hibáit meg kell oldani MMA Azure Virtual Machine Scale Sets 2024. augusztus Nincs csere
A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra MMA Azure Virtual Machine Scale Sets 2024. augusztus Nincs csere
A végpontvédelmi megoldásnak gépeken kell lennie MMA Nem Azure-erőforrások (Windows) 2024. augusztus Nincs csere
Végpontvédelmi megoldás telepítése a gépekre MMA Azure és nem Azure (Windows) 2024. augusztus Új ügynök nélküli javaslat
Meg kell oldani a végpontvédelmi állapottal kapcsolatos problémákat a gépeken MMA Azure és nem Azure (Windows és Linux) 2024. augusztus Új ügynök nélküli javaslat.

Az ügynök nélküli gépvizsgálaton alapuló új javaslatok mind a Windows, mind a Linux operációs rendszert támogatják a többfelhős gépeken.

Hogyan működik a csere?

  • A Log Analytics-ügynök vagy az AMA által megadott aktuális javaslatok idővel elavultak lesznek.
  • Ezen meglévő javaslatok némelyikét az ügynök nélküli gépi vizsgálaton alapuló új javaslatok váltják fel.
  • Javaslatok jelenleg a ga-ban marad, amíg a Log Analytics-ügynök ki nem lép.
  • Javaslatok, amelyek jelenleg előzetes verzióban érhetők el, az új javaslat előzetes verzióban való elérhetővé válik.

Mi történik a biztonságos pontszámmal?

  • Javaslatok, amelyek jelenleg a ga-ban vannak, továbbra is hatással lesznek a biztonságos pontszámra. 
  • Az aktuális és a közelgő új javaslatok ugyanabban a Microsoft Cloud Security Benchmark-vezérlőben találhatók, így biztosítva, hogy a biztonsági pontszám ne legyen ismétlődő hatással.

Hogyan felkészülni az új javaslatokra?

  • Győződjön meg arról, hogy az ügynök nélküli gép vizsgálata engedélyezve van a Defender 2. csomagjának vagy a Defender CSPM-nek a részeként.
  • Ha megfelelő a környezetéhez, a legjobb élmény érdekében azt javasoljuk, hogy távolítsa el az elavult javaslatokat, amikor a helyettesítő GA-javaslat elérhetővé válik. Ehhez tiltsa le a javaslatot az Azure Policy beépített Felhőhöz készült Defender kezdeményezésében.

Fájlintegritási monitorozási élmény – változások és migrálási útmutató

A Microsoft Defender for Servers Plan 2 mostantól egy új, Végponthoz készült Microsoft Defender (MDE) integráción alapuló fájlintegritási monitorozási (FIM) megoldást kínál. Ha az MDE által üzemeltetett FIM nyilvános, a Felhőhöz készült Defender portálon az AMA-felülettel rendelkező FIM el lesz távolítva. Októberben megszűnik az MMA által üzemeltetett FIM.

Migrálás FIM-ből az AMA-ból

Ha jelenleg a FIM-et használja az AMA-en keresztül:

  • Az AMA alapján új előfizetések vagy kiszolgálók előkészítése a FIM-be és a változáskövetési bővítmény, valamint a módosítások megtekintése nem lesz elérhető a Felhőhöz készült Defender portálon május 30-tól.

  • Ha folytatni szeretné az AMA által gyűjtött FIM-eseményeket, manuálisan csatlakozhat a megfelelő munkaterülethez, és megtekintheti a változáskövetési táblában lévő változásokat az alábbi lekérdezéssel:

    ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType

  • Ha folytatni szeretné az új hatókörök előkészítését vagy a figyelési szabályok konfigurálását, manuálisan használhatja az Adat Csatlakozás ion-szabályokat az adatgyűjtés különböző aspektusainak konfigurálásához vagy testreszabásához.

  • Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az AMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az AMA-ra

Ha le szeretné tiltani a FIM-et az AMA-on keresztül, távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

Másik lehetőségként eltávolíthatja a kapcsolódó fájlmódosítás-követési adatgyűjtési szabályokat (DCR). További információ: Remove-AzDataCollectionRuleAssociation vagy Remove-AzDataCollectionRule.

Miután letiltotta a fájlesemények gyűjteményét a fenti módszerek egyikével:

  • Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
  • A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

Migrálás a FIM-ből a Log Analytics-ügynökön keresztül (MMA)

Ha jelenleg a FIM-et használja a Log Analytics-ügynökön (MMA) keresztül:

  • A Log Analytics-ügynökön (MMA) alapuló fájlintegritási monitorozás 2024 októberében megszűnik.
  • Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az MMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az MMA-ról

A FIM MMA-on keresztüli letiltásához távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

A fájlesemények gyűjteményének letiltása után:

  • Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
  • A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

A Defender előkészítése gépeken futó SQL-hez

További információ a Defender for SQL Serverről a Log Analytics-ügynök elavulásos tervén.

Ha az aktuális Log Analytics-ügynök/Azure Monitor-ügynök automatikus kiépítési folyamatát használja, az sql serverhez készült új Azure Monitoring Agentre kell migrálnia az automatikusan kiépítési folyamaton futó gépeken. A migrálási folyamat zökkenőmentes, és folyamatos védelmet biztosít minden gép számára.

Migrálás az SQL Server által megcélzott AMA automatikus leépítési folyamatba

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Az Adatbázisok csomagban válassza a Szükséges művelet lehetőséget.

    Képernyőkép arról, hogy hol kell kiválasztani a szükséges műveletet.

  6. Az előugró ablakban válassza az Engedélyezés lehetőséget.

    Képernyőkép az engedélyezés előugró ablakból való kiválasztásáról.

  7. Válassza a Mentés lehetőséget.

Ha engedélyezve van az SQL Server által célzott AMA automatikus leépítési folyamat, tiltsa le a Log Analytics-ügynök/Azure Monitor-ügynök automatikus leépítési folyamatát, és távolítsa el az MMA-t az összes SQL-kiszolgálón:

A Log Analytics-ügynök letiltása:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Az Adatbázis csomag alatt válassza a Gépház.

  6. Kapcsolja ki a Log Analytics-ügynököt.

    A Log Analytics kikapcsolva állapotba kapcsolását bemutató képernyőkép.

  7. Válassza a Folytatás lehetőséget.

  8. Válassza a Mentés lehetőséget.

A migrálás megtervezése

Javasoljuk, hogy az üzleti követelményeknek megfelelően tervezze meg az ügynökök migrálását. A táblázat összefoglalja útmutatónkat.

A Defender for Servers szolgáltatást használja? Szükség van ezekre a Defender for Servers-funkciókra a ga-ban: fájlintegritási monitorozás, végpontvédelmi javaslatok, biztonsági alapkonfiguráció-javaslatok? A Defendert sql-kiszolgálókhoz használja gépeken vagy AMA-naplógyűjteményben? Migrálási terv
Igen Igen Nem 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. Várja meg a ga-t az alternatív platform összes funkciójával (az előzetes verziót használhatja korábban).
3. Ha a funkciók ga-ra vannak skálázva, tiltsa le a Log Analytics-ügynököt.
Nem --- Nem Most már eltávolíthatja a Log Analytics-ügynököt.
Nem --- Igen 1. Most már migrálhat az AMA-hoz készült SQL automatikus üzembe helyezésére.
2. Tiltsa le a Log Analytics/Azure Monitor-ügynököt.
Igen Igen Igen 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. A Log Analytics-ügynökkel és az AMA-sel egymás mellett szerezheti be az összes funkciót a ga-ban. További információ az ügynökök egymás melletti futtatásáról.
3. Migrálás az AMA sql-alapú automatikus sql-alapú üzembe helyezésére a gépeken futó Defenderben. Másik lehetőségként 2024 áprilisában indítsa el a Log Analytics-ügynökről az AMA-ra való migrálást.
4. Az áttelepítés befejezése után tiltsa le a Log Analytics-ügynököt.
Igen Nem Igen 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. Most már migrálhat az AMA sql-alapú automatikus sql-telepítésére a Defender for SQL-ben a gépeken.
3. Tiltsa le a Log Analytics-ügynököt.

Következő lépés

A Log Analytics-ügynök elavulása Felhőhöz készült Defender tervének és stratégiájának közelgő változásai