AMA migrálása a Microsoft Sentinelhez
Ez a cikk az Azure Monitor Agent (AMA) migrálási folyamatát ismerteti, ha már rendelkezik egy meglévő Log Analytics-ügynökkel (MMA/OMS), és a Microsoft Sentinellel dolgozik.
Fontos
A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást.
Előfeltételek
Kezdje az Azure Monitor dokumentációjával , amely ügynök-összehasonlítást és általános információkat biztosít ehhez a migrálási folyamathoz.
Ez a cikk a Microsoft Sentinel konkrét részleteit és különbségeit ismerteti.
Az ügynökök közötti réselemzés
Az alábbi táblázatok a Microsoft Sentinel ügynökalapú adatgyűjtésére támaszkodó naplótípusok réselemzéseit mutatják be. Ez frissülni fog, mivel az AMA támogatása a Log Analytics-ügynökkel való paritás felé nő.
Windows-naplók
| Napló típusa / Támogatás | Az Azure Monitor-ügynök támogatása | Log Analytics-ügynök támogatása |
|---|---|---|
| Biztonsági események | Windows biztonság Események adatösszekötő | Windows biztonság Események adatösszekötő (örökölt) |
| Szűrés biztonsági eseményazonosító alapján | Windows biztonság Események adatösszekötő (AMA) | - |
| Szűrés eseményazonosító szerint | Csak gyűjtemény | - |
| Windows-eseménytovábbítás | Windows által továbbított események | - |
| Windows tűzfalnaplók | - | Windows Tűzfal adatösszekötő |
| Performance counters | Csak gyűjtemény | Csak gyűjtemény |
| Windows-eseménynaplók | Csak gyűjtemény | Csak gyűjtemény |
| Egyéni naplók (szöveg) | Csak gyűjtemény | Csak gyűjtemény |
| IIS logs | Csak gyűjtemény | Csak gyűjtemény |
| Több homing | Csak gyűjtemény | Csak gyűjtemény |
| Alkalmazás- és szolgáltatásnaplók | - | Csak gyűjtemény |
| Sysmon | Csak gyűjtemény | Csak gyűjtemény |
| DNS-naplók | Windows DNS-kiszolgálók AMA-összekötőn keresztül (nyilvános előzetes verzió) | Windows DNS Server-összekötő (nyilvános előzetes verzió) |
Fontos
Az Azure Monitor-ügynök 25%-kal jobb átviteli sebességet biztosít, mint az örökölt Log Analytics-ügynökök. A nagyobb teljesítmény érdekében migráljon az új AMA-összekötőkre, különösen akkor, ha a kiszolgálókat naplótovábbítóként használja a Windows biztonsági eseményekhez vagy a továbbított eseményekhez.
Linux-naplók
| Napló típusa / Támogatás | Az Azure Monitor-ügynök támogatása | Log Analytics-ügynök támogatása |
|---|---|---|
| Syslog | Csak gyűjtemény | Syslog-adatösszekötő |
| Common Event Format (CEF) | CEF az AMA-adatösszekötőn keresztül | CEF-adatösszekötő |
| Sysmon | Csak gyűjtemény | Csak gyűjtemény |
| Egyéni naplók (szöveg) | Csak gyűjtemény | Csak gyűjtemény |
| Több homing | Csak gyűjtemény | - |
Javasolt migrálási terv
Minden szervezet különböző sikermetrikákkal és belső migrálási folyamatokkal rendelkezik. Ez a szakasz javasolt útmutatást nyújt a Log Analytics MMA/OMS-ügynökről az AMA-ba való migráláskor, különösen a Microsoft Sentinel esetében.
Adja meg a következő lépéseket a migrálási folyamat során:
Győződjön meg arról, hogy áttekintette a szükséges előfeltételeket és egyéb szempontokat az Azure Monitor dokumentációjában leírtak szerint.
Futtasson egy megvalósíthatósági igazolást annak teszteléséhez, hogy az AMA hogyan küld adatokat a Microsoft Sentinelnek, ideális esetben fejlesztési vagy tesztkörnyezeti környezetben.
A Windows-gépek Windows biztonság eseményösszekötőhöz való csatlakoztatásához kezdje az Windows biztonság eseményeket a Microsoft Sentinel AMA-adatösszekötő lapján. További információ: Windows-ügynökalapú kapcsolatok.
Nyissa meg a biztonsági eseményeket az örökölt ügynök adatösszekötő oldalán. Az Utasítások lap 2. konfigurációs> lépésében válassza ki a streamelni kívánt eseményeket, és válassza a Nincs lehetőséget. Ez úgy konfigurálja a rendszert, hogy ne kapjon biztonsági eseményeket az MMA/OMS-en keresztül, de az ügynökre támaszkodó egyéb adatforrások továbbra is működni fognak. Ez a lépés az aktuális Log Analytics-munkaterületre jelentett összes gépet érinti.
Fontos
Ha ugyanazon forrásból tölt be adatokat két különböző típusú ügynökkel, az dupla betöltési díjakat és ismétlődő eseményeket eredményez a Microsoft Sentinel-munkaterületen.
Ha mindkét adatösszekötőt egyidejűleg kell futtatnia, azt javasoljuk, hogy ezt csak korlátozott ideig végezze el egy teljesítményértékelési vagy tesztelési összehasonlító tevékenységhez, ideális esetben egy külön teszt-munkaterületen.
Mérje fel a megvalósíthatósági igazolás sikerességét.
A lépéshez használja az AMA migrálási nyomkövető munkafüzetét, amely megjeleníti a munkaterületeknek jelentést küldő kiszolgálókat, valamint azt, hogy telepítve van-e az örökölt MMA, az AMA vagy mindkét ügynök. Ezzel a munkafüzetben megtekintheti azokat a DCR-eket is, amelyek eseményeket gyűjtenek a gépekről, és hogy milyen eseményeket gyűjtenek.
Például:
A sikerességi kritériumoknak tartalmazniuk kell az MMA/OMS és az AMA-ügynökök által ugyanazon a gazdagépen betöltött mennyiségi adatok statisztikai elemzését és összehasonlítását:
A sikeresség mérése előre meghatározott időszakban, amely a környezet normál számítási feladatait jelöli.
A tesztelés során mindenképpen tesztelje az AMA által biztosított új funkciókat, például a Linux multi-homingot, a Windows eseményszűrést stb.
Tervezze meg az AMA-ügynökök üzembe helyezését az éles környezetben a szervezet kockázati profiljának és a változási folyamatoknak megfelelően.
Hajtsa végre az új ügynököt az éles környezetben, és futtassa az AMA-funkciók végső tesztelését.
Válassza le az örökölt összekötőre támaszkodó adatösszekötőket, például a biztonsági eseményeket az MMA-val. Hagyja futni az új összekötőt, például Windows biztonság eseményeket az AMA-val.
Bár az örökölt MMA/OMS és az AMA-ügynökök is párhuzamosan futhatnak, megakadályozhatja az ismétlődő költségeket és az adatokat, ha meggyőződik arról, hogy minden adatforrás csak egy ügynököt használ az adatok Microsoft Sentinelbe való küldéséhez.
Ellenőrizze a Microsoft Sentinel-munkaterületen, hogy az összes adatfolyamot lecserélték-e az új AMA-alapú összekötőkkel.
Távolítsa el az örökölt ügynököt. További információ: Az Azure Log Analytics-ügynök kezelése.
Gyakori kérdések
Az alábbi gyakori kérdések az AMA Microsoft Sentinellel való migrálásával kapcsolatos problémákat ismertetik. További információkért tekintse meg az AMA migrálásával kapcsolatos gyakori kérdéseket és az Azure Monitor-ügynökkel kapcsolatos gyakori kérdéseket az Azure Monitor dokumentációjában.
Mi történik, ha párhuzamosan futtatom az MMA/OMS-t és az AMA-t is a Microsoft Sentinel-üzemelő példányomban?
Az AMA és az MMA/OMS-ügynökök is létezhetnek ugyanazon a gépen. Ha mindketten adatokat küldenek ugyanabból az adatforrásból egy Microsoft Sentinel-munkaterületre, ugyanakkor egyetlen gazdagépről, ismétlődő események és dupla betöltési díjak fognak történni.
Az éles üzembe helyezéshez javasoljuk, hogy minden adatforráshoz konfiguráljon egy MMA/OMS-ügynököt vagy az AMA-t. A duplikációval kapcsolatos problémák megoldásához tekintse meg az Azure Monitor dokumentációjának megfelelő gyakori kérdéseket.
Az AMA még nem rendelkezik a Microsoft Sentinel-telepítéshez szükséges funkciókkal. Migrálnom kell még?
Az örökölt Log Analytics-ügynök 2024. augusztus 31-én megszűnik.
Javasoljuk, hogy folyamatosan naprakész legyen az AMA-hoz idővel kiadott új funkciókkal, mivel az az MMA/OMS-hez való paritás felé tart. Törekedjen a migrálásra, amint a Microsoft Sentinel-telepítés futtatásához szükséges funkciók elérhetők az AMA-ban.
Bár egyszerre futtathatja az MMA-t és az AMA-t, érdemes lehet egyenként áttelepíteni az összekötőt, miközben mindkét ügynököt futtatja.
Következő lépések
For more information, see: