Felkészülés a Log Analytics-ügynök kivonására
A Log Analytics-ügynök, más néven a Microsoft Monitoring Agent (MMA) 2024 augusztusában nyugdíjba vonul. Ennek eredményeképpen a Defender for Servers és a Defender for SQL a Felhőhöz készült Microsoft Defender-beli gépcsomagokon frissül, és a Log Analytics-ügynökre támaszkodó funkciók újra lesznek tervezve.
Ez a cikk az ügynök kivonási terveit foglalja össze.
A Defender előkészítése kiszolgálókhoz
A Defender for Servers csomag a Log Analytics-ügynököt használja általánosan elérhető (GA) és az AMA-ban bizonyos funkciókhoz (előzetes verzióban). A következő dolgok történnek a következő funkciókkal:
Az előkészítés egyszerűsítése érdekében a Defender for Servers összes biztonsági funkciója és képessége egyetlen ügynökkel (Végponthoz készült Microsoft Defender) lesz ellátva, amelyet ügynök nélküli gépvizsgálat egészít ki, anélkül, hogy a Log Analytics-ügynök vagy az AMA függősége lenne. Vegye figyelembe, hogy:
- Az AMA-n alapuló Defender for Servers-funkciók jelenleg előzetes verzióban érhetők el, és nem jelennek meg a GA-ban.
- Az előzetes verzióban az AMA-ra támaszkodó funkciók mindaddig támogatottak maradnak, amíg meg nem ad egy másik verziót a szolgáltatásnak, amely a Defender for Endpoint integrációjára vagy az ügynök nélküli gép vizsgálatára fog támaszkodni.
- Ha engedélyezi a Defender for Endpoint integrációját és az ügynök nélküli gép vizsgálatát az elavulás előtt, a Defender for Servers üzembe helyezése naprakész és támogatott lesz.
Funkciófunkciók
Az alábbi táblázat összefoglalja a Defender for Servers funkcióinak használatát. A legtöbb funkció már általánosan elérhető a Defender végpontintegrációhoz vagy az ügynök nélküli gép vizsgálatához. A többi funkció vagy elérhető lesz a ga-ban az MMA kivonásának idejére, vagy elavult lesz.
Szolgáltatás | Aktuális támogatás | Új támogatás | Új felhasználói élmény állapota |
---|---|---|---|
Defender végpontintegráció alacsonyabb szintű Windows-gépekhez (Windows Server 2016/2012 R2) | Legacy Defender for Endpoint sensor, a Log Analytics-ügynök alapján | Egyesített ügynökintegráció | - Az egyesített ügynökkel a ga funkció használható. – Az örökölt Defender for Endpoint-érzékelővel a Log Analytics-ügynökkel való működése 2024 augusztusában megszűnik. |
Operációsrendszer-szintű fenyegetésészlelés | Log Analytics-ügynök | A Defender for Endpoint-ügynök integrációja | A Defender for Endpoint-ügynökkel a ga funkció működik. |
Adaptív alkalmazásvezérlés | Log Analytics-ügynök (GA), AMA (előzetes verzió) | --- | Az adaptív alkalmazásvezérlési funkció 2024 augusztusában elavultra van állítva. |
Végpontvédelmi felderítési javaslatok | Javaslatok, amelyek az foundational Cloud Security Posture Management (CSPM) csomagon és a Defender for Serversen keresztül érhetők el a Log Analytics-ügynök (GA), az AMA (előzetes verzió) használatával | Ügynök nélküli gép vizsgálata | – Az ügynök nélküli gépvizsgálattal rendelkező funkciók 2024 februárjában jelennek meg előzetes verzióban a Defender for Servers 2. csomagja és a Defender CSPM-csomag részeként. – Az Azure-beli virtuális gépek, a Google Cloud Platform (GCP) és az Amazon Web Services (AWS) példányok támogatottak lesznek. A helyszíni gépek nem támogatottak. |
Hiányzó operációsrendszer-frissítési javaslat | Javaslatok elérhető az alapszintű CSPM és a Defender for Servers csomagban a Log Analytics-ügynök használatával. | Integráció az Update Managerrel, Microsoft | Az Azure Update Manager-integráción alapuló új javaslatok a GA, ügynökfüggőségek nélkül. |
Operációsrendszer-konfigurációk (Microsoft Cloud Security Benchmark) | Javaslatok, amelyek az alapszintű CSPM és a Defender for Servers csomagon keresztül érhetők el a Log Analytics-ügynök, a Vendégkonfigurációs ügynök (előzetes verzió) használatával. | Microsoft Defender biztonságirés-kezelés prémium szintű, a Defender for Servers 2. csomagjának részeként. | - A prémium Microsoft Defender biztonságirés-kezelés integráción alapuló funkciók 2024 áprilisa körül lesznek előzetes verzióban elérhetők. – A Log Analytics-ügynökkel kapcsolatos funkciók 2024 augusztusában megszűnnek – A vendégkonfigurációs ügynökkel (előzetes verzió) kapcsolatos funkciók elavultak lesznek, ha a Microsoft Defender biztonságirés-kezelés elérhető. – A Docker-Hub és az Azure Virtuálisgép-méretezési csoportok szolgáltatás támogatása 2024 augusztusában megszűnik. |
Fájlintegritás monitorozása | Log Analytics-ügynök, AMA (előzetes verzió) | A Defender for Endpoint-ügynök integrációja | A Defender for Endpoint-ügynökkel kapcsolatos funkciók 2024 áprilisa körül lesznek elérhetők. – A Log Analytics-ügynökkel kapcsolatos funkciók 2024 augusztusában megszűnnek. – Az AMA funkciói elavultak lesznek a Defender for Endpoint-integráció megjelenésekor. |
A meghatározott táblákon végzett adatbetöltés 500 MB-os előnye az AMA-ügynökön keresztül támogatott marad a Defender for Servers 2. csomag által lefedett előfizetések alá tartozó gépek esetében. Minden gép csak egyszer jogosult a kedvezményre, még akkor is, ha a Log Analytics-ügynök és az Azure Monitor-ügynök is telepítve van rajta. További információ az AMA üzembe helyezéséről.
A gépeken futó SQL-kiszolgálók esetében javasoljuk, hogy migráljon az SQL Server által célzott Azure Monitoring Agent (AMA) automatikus fejlesztési folyamatára.
Végpontvédelmi javaslatok – változások és migrálási útmutató
A végpontfelderítést és -javaslatokat jelenleg az Felhőhöz készült Defender alapszintű CSPM és a Defender for Servers csomag biztosítja a Log Analytics-ügynök használatával a GA-ban, vagy előzetes verzióban az AMA-n keresztül. Ezt a felhasználói élményt az ügynök nélküli gépvizsgálattal összegyűjtött biztonsági javaslatok váltják fel.
A végpontvédelmi javaslatok két szakaszból állnak. Az első lépés egy végponti észlelés és reagálás megoldás felderítése. A második a megoldás konfigurációjának értékelése . Az alábbi táblázatok az egyes szakaszok aktuális és új felületeinek részleteit tartalmazzák.
Megtudhatja, hogyan kezelheti az új (ügynök nélküli) végponti észlelés és reagálás javaslatokat.
Végpontészlelés és válaszmegoldás – felderítés
Terület | Jelenlegi tapasztalat (az AMA/MMA alapján) | Új felület (ügynök nélküli gépi vizsgálat alapján) |
---|---|---|
Mi szükséges egy erőforrás kifogástalan állapotúként való besorolásához? | Egy vírusirtó van a helyén. | Egy végponti észlelés és reagálás megoldás van érvényben. |
Mire van szükség a javaslat beszerzéséhez? | Log Analytics-ügynök | Ügynök nélküli gép vizsgálata |
Milyen csomagok támogatottak? | - Alapszintű CSPM (ingyenes) - Defender for Servers Plan 1 és Plan 2 |
- Defender CSPM - Defender for Servers Plan 2 |
Milyen javítás érhető el? | Telepítse a Microsoft kártevőirtót. | Telepítse a Defender for Endpointt a kiválasztott gépekre/előfizetésekre. |
Végpontészlelés és válaszmegoldás – konfigurációértékelés
Terület | Jelenlegi tapasztalat (az AMA/MMA alapján) | Új felület (ügynök nélküli gépi vizsgálat alapján) |
---|---|---|
Az erőforrások akkor minősülnek kifogástalan állapotúnak, ha egy vagy több biztonsági ellenőrzés nem kifogástalan. | Három biztonsági ellenőrzés: - A valós idejű védelem ki van kapcsolva - Az aláírások elavultak. - A gyors és a teljes vizsgálat sem hét napig fut. |
Három biztonsági ellenőrzés: - A vírusirtó ki van kapcsolva vagy részben konfigurálva van - Az aláírások elavultak - A gyors és a teljes vizsgálat sem hét napig fut. |
A javaslat beszerzésének előfeltételei | Kártevőirtó megoldás a helyén | Egy végponti észlelés és reagálás megoldás. |
Mely javaslatok elavultak?
Az alábbi táblázat az elavult és lecserélt javaslatok ütemezését foglalja össze.
Hogyan működik a csere?
- A Log Analytics-ügynök vagy az AMA által megadott aktuális javaslatok idővel elavultak lesznek.
- Ezen meglévő javaslatok némelyikét az ügynök nélküli gépi vizsgálaton alapuló új javaslatok váltják fel.
- Javaslatok jelenleg a ga-ban marad, amíg a Log Analytics-ügynök ki nem lép.
- Javaslatok, amelyek jelenleg előzetes verzióban érhetők el, az új javaslat előzetes verzióban való elérhetővé válik.
Mi történik a biztonságos pontszámmal?
- Javaslatok, amelyek jelenleg a ga-ban vannak, továbbra is hatással lesznek a biztonságos pontszámra.
- Az aktuális és a közelgő új javaslatok ugyanabban a Microsoft Cloud Security Benchmark-vezérlőben találhatók, így biztosítva, hogy a biztonsági pontszám ne legyen ismétlődő hatással.
Hogyan felkészülni az új javaslatokra?
- Győződjön meg arról, hogy az ügynök nélküli gép vizsgálata engedélyezve van a Defender 2. csomagjának vagy a Defender CSPM-nek a részeként.
- Ha megfelelő a környezetéhez, a legjobb élmény érdekében azt javasoljuk, hogy távolítsa el az elavult javaslatokat, amikor a helyettesítő GA-javaslat elérhetővé válik. Ehhez tiltsa le a javaslatot az Azure Policy beépített Felhőhöz készült Defender kezdeményezésében.
Fájlintegritási monitorozási élmény – változások és migrálási útmutató
A Microsoft Defender for Servers Plan 2 mostantól egy új, Végponthoz készült Microsoft Defender (MDE) integráción alapuló fájlintegritási monitorozási (FIM) megoldást kínál. Ha az MDE által üzemeltetett FIM nyilvános, a Felhőhöz készült Defender portálon az AMA-felülettel rendelkező FIM el lesz távolítva. Októberben megszűnik az MMA által üzemeltetett FIM.
Migrálás FIM-ből az AMA-ból
Ha jelenleg a FIM-et használja az AMA-en keresztül:
Az AMA alapján új előfizetések vagy kiszolgálók előkészítése a FIM-be és a változáskövetési bővítmény, valamint a módosítások megtekintése nem lesz elérhető a Felhőhöz készült Defender portálon május 30-tól.
Ha folytatni szeretné az AMA által gyűjtött FIM-eseményeket, manuálisan csatlakozhat a megfelelő munkaterülethez, és megtekintheti a változáskövetési táblában lévő változásokat az alábbi lekérdezéssel:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Ha folytatni szeretné az új hatókörök előkészítését vagy a figyelési szabályok konfigurálását, manuálisan használhatja az Adat Csatlakozás ion-szabályokat az adatgyűjtés különböző aspektusainak konfigurálásához vagy testreszabásához.
Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az AMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.
A FIM letiltása az AMA-ra
Ha le szeretné tiltani a FIM-et az AMA-on keresztül, távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.
Másik lehetőségként eltávolíthatja a kapcsolódó fájlmódosítás-követési adatgyűjtési szabályokat (DCR). További információ: Remove-AzDataCollectionRuleAssociation vagy Remove-AzDataCollectionRule.
Miután letiltotta a fájlesemények gyűjteményét a fenti módszerek egyikével:
- Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
- A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.
Migrálás a FIM-ből a Log Analytics-ügynökön keresztül (MMA)
Ha jelenleg a FIM-et használja a Log Analytics-ügynökön (MMA) keresztül:
- A Log Analytics-ügynökön (MMA) alapuló fájlintegritási monitorozás 2024 októberében megszűnik.
- Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az MMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.
A FIM letiltása az MMA-ról
A FIM MMA-on keresztüli letiltásához távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.
A fájlesemények gyűjteményének letiltása után:
- Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
- A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.
A Defender előkészítése gépeken futó SQL-hez
További információ a Defender for SQL Serverről a Log Analytics-ügynök elavulásos tervén.
Ha az aktuális Log Analytics-ügynök/Azure Monitor-ügynök automatikus kiépítési folyamatát használja, az sql serverhez készült új Azure Monitoring Agentre kell migrálnia az automatikusan kiépítési folyamaton futó gépeken. A migrálási folyamat zökkenőmentes, és folyamatos védelmet biztosít minden gép számára.
Migrálás az SQL Server által megcélzott AMA automatikus leépítési folyamatba
Jelentkezzen be az Azure Portalra.
Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.
A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.
Válassza ki az adott előfizetést.
Az Adatbázisok csomagban válassza a Szükséges művelet lehetőséget.
Az előugró ablakban válassza az Engedélyezés lehetőséget.
Válassza a Mentés lehetőséget.
Ha engedélyezve van az SQL Server által célzott AMA automatikus leépítési folyamat, tiltsa le a Log Analytics-ügynök/Azure Monitor-ügynök automatikus leépítési folyamatát, és távolítsa el az MMA-t az összes SQL-kiszolgálón:
A Log Analytics-ügynök letiltása:
Jelentkezzen be az Azure Portalra.
Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.
A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.
Válassza ki az adott előfizetést.
Az Adatbázis csomag alatt válassza a Gépház.
Kapcsolja ki a Log Analytics-ügynököt.
Válassza a Folytatás lehetőséget.
Válassza a Mentés lehetőséget.
A migrálás megtervezése
Javasoljuk, hogy az üzleti követelményeknek megfelelően tervezze meg az ügynökök migrálását. A táblázat összefoglalja útmutatónkat.
A Defender for Servers szolgáltatást használja? | Szükség van ezekre a Defender for Servers-funkciókra a ga-ban: fájlintegritási monitorozás, végpontvédelmi javaslatok, biztonsági alapkonfiguráció-javaslatok? | A Defendert sql-kiszolgálókhoz használja gépeken vagy AMA-naplógyűjteményben? | Migrálási terv |
---|---|---|---|
Igen | Igen | Nem | 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. Várja meg a ga-t az alternatív platform összes funkciójával (az előzetes verziót használhatja korábban). 3. Ha a funkciók ga-ra vannak skálázva, tiltsa le a Log Analytics-ügynököt. |
Nem | --- | Nem | Most már eltávolíthatja a Log Analytics-ügynököt. |
Nem | --- | Igen | 1. Most már migrálhat az AMA-hoz készült SQL automatikus üzembe helyezésére. 2. Tiltsa le a Log Analytics/Azure Monitor-ügynököt. |
Igen | Igen | Igen | 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. A Log Analytics-ügynökkel és az AMA-sel egymás mellett szerezheti be az összes funkciót a ga-ban. További információ az ügynökök egymás melletti futtatásáról. 3. Migrálás az AMA sql-alapú automatikus sql-alapú üzembe helyezésére a gépeken futó Defenderben. Másik lehetőségként 2024 áprilisában indítsa el a Log Analytics-ügynökről az AMA-ra való migrálást. 4. Az áttelepítés befejezése után tiltsa le a Log Analytics-ügynököt. |
Igen | Nem | Igen | 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. Most már migrálhat az AMA sql-alapú automatikus sql-telepítésére a Defender for SQL-ben a gépeken. 3. Tiltsa le a Log Analytics-ügynököt. |