Migrasi AMA untuk Microsoft Sentinel
Artikel ini menjelaskan proses migrasi ke Azure Monitor Agent (AMA) saat Anda memiliki Agen Analitik Log (MMA/OMS) yang ada, dan bekerja dengan Microsoft Sentinel.
Penting
Agen Analitik Log akan dihentikan pada 31 Agustus 2024. Jika Anda menggunakan agen Log Analytics dalam penyebaran Microsoft Sentinel, kami sarankan Anda mulai merencanakan migrasi ke AMA.
Prasyarat
Mulailah dengan dokumentasi Azure Monitor yang menyediakan perbandingan agen dan informasi umum untuk proses migrasi ini.
Artikel ini memberikan detail dan perbedaan spesifik untuk Microsoft Sentinel.
Analisis celah antara agen
Tabel berikut menunjukkan analisis celah untuk jenis log yang saat ini bergantung pada pengumpulan data berbasis agen untuk Microsoft Sentinel. Hal ini akan diperbarui sebagai dukungan untuk perkembangan AMA agar setara dengan agen Analitik Log.
Windows log
| Jenis log / Dukungan | Dukungan agen Azure Monitor | Dukungan agen Analitik Log |
|---|---|---|
| Peristiwa Keamanan | konektor data Keamanan Windows Events | Konektor data Keamanan Windows Peristiwa (Warisan) |
| Pemfilteran berdasarkan ID peristiwa keamanan | konektor data Keamanan Windows Events (AMA) | - |
| Memfilter berdasarkan ID peristiwa | Hanya koleksi | - |
| Penerusan Peristiwa Windows | Peristiwa Windows yang Diteruskan | - |
| Log Firewall Windows | - | Konektor data Firewall Windows |
| Penghitung kinerja | Hanya koleksi | Hanya koleksi |
| Log Peristiwa Windows (Sistem) | Hanya koleksi | Hanya koleksi |
| Log kustom (teks) | Hanya koleksi | Hanya koleksi |
| Log IIS | Hanya koleksi | Hanya koleksi |
| Multi-homing | Hanya koleksi | Hanya koleksi |
| Log aplikasi dan layanan | Hanya koleksi | Hanya koleksi |
| Sysmon | Hanya koleksi | Hanya koleksi |
| Log DNS | Server DNS Windows melalui konektor AMA (Pratinjau umum) | Konektor Server DNS Windows (Pratinjau umum) |
Penting
Agen Azure Monitor menyediakan throughput yang 25% lebih baik daripada agen Analitik Log warisan. Migrasikan ke konektor AMA baru untuk mendapatkan performa yang lebih tinggi, terutama jika Anda menggunakan server Anda sebagai penerus log untuk peristiwa keamanan Windows atau peristiwa yang diteruskan.
Log Linux
| Jenis log / Dukungan | Dukungan agen Azure Monitor | Dukungan agen Analitik Log |
|---|---|---|
| Syslog | Hanya koleksi | Konektor data Syslog |
| Common Event Format (CEF) | CEF melalui konektor data AMA | Konektor data CEF |
| Sysmon | Hanya koleksi | Hanya koleksi |
| Log kustom (teks) | Hanya koleksi | Hanya koleksi |
| Multi-homing | Hanya koleksi | - |
Paket migrasi yang direkomendasikan
Setiap organisasi akan memiliki metrik keberhasilan dan proses migrasi internal yang berbeda. Bagian ini memberikan panduan yang disarankan untuk dipertimbangkan saat bermigrasi dari agen MMA/OMS Log Analytics ke AMA, khususnya untuk Microsoft Sentinel.
Sertakan langkah-langkah berikut dalam proses migrasi Anda:
Pastikan Anda telah meninjau prasyarat yang diperlukan dan pertimbangan lain seperti yang didokumenkan di sini dalam dokumentasi Azure Monitor.
Jalankan bukti konsep untuk menguji cara AMA mengirimkan data ke Microsoft Sentinel, idealnya dalam lingkungan pengembangan atau kotak pasir.
Untuk menghubungkan mesin Windows Anda ke Konektor Peristiwa Keamanan Windows, mulailah dengan halaman konektor data Keamanan Windows Events melalui AMA di Microsoft Sentinel. Untuk informasi selengkapnya, lihat koneksi berbasis agen Windows.
Buka halaman konektor data Peristiwa Keamanan melalui Agen Warisan. Pada tab Petunjuk, di bawah Konfigurasi> Langkah 2, Pilih peristiwa mana yang akan dialirkan, pilih Tidak Ada. Ini mengonfigurasi sistem Anda sehingga Anda tidak akan menerima peristiwa keamanan apa pun melalui MMA/OMS, tetapi sumber data lain yang mengandalkan agen ini akan terus bekerja. Langkah ini memengaruhi semua mesin yang melaporkan ke ruang kerja Log Analytics Anda saat ini.
Penting
Menyerap data dari sumber yang sama menggunakan dua jenis agen yang berbeda akan mengakibatkan biaya penyerapan ganda dan peristiwa duplikat di ruang kerja Microsoft Sentinel.
Jika Anda perlu menjaga kedua konektor data berjalan secara bersamaan, kami sarankan Anda melakukannya hanya untuk waktu yang terbatas untuk pembandingan, atau menguji aktivitas perbandingan, idealnya di ruang kerja pengujian terpisah.
Ukur keberhasilan bukti konsep Anda.
Untuk membantu langkah ini, gunakan buku kerja pelacak migrasi AMA, yang menampilkan server yang melaporkan ke ruang kerja Anda, dan apakah mereka memiliki MMA lama, AMA, atau kedua agen yang diinstal. Anda juga dapat menggunakan buku kerja ini untuk melihat DDR yang mengumpulkan peristiwa dari mesin Anda, dan peristiwa mana yang mereka kumpulkan.
Misalnya:
Kriteria keberhasilan harus mencakup analisis statistik dan perbandingan data kuantitatif yang diserap oleh agen MMA/OMS dan AMA pada host yang sama:
Ukur kesuksesan Anda selama periode waktu yang telah ditentukan yang mewakili beban kerja normal untuk lingkungan Anda.
Saat pengujian, pastikan untuk menguji setiap fitur baru yang disediakan oleh AMA, seperti Linux multi-homing, Windows pemfilteran peristiwa, dan sebagainya.
Rencanakan peluncuran Anda untuk agen AMA di lingkungan produksi Anda sesuai dengan profil risiko organisasi Anda dan proses perubahan.
Luncurkan agen baru di lingkungan produksi Anda dan jalankan pengujian akhir fungsionalitas AMA.
Lepaskan konektor data apa pun yang mengandalkan konektor lama, seperti Peristiwa Keamanan dengan MMA. Biarkan konektor baru, seperti Peristiwa Keamanan Windows dengan AMA, berjalan.
Meskipun Anda dapat memiliki MMA/OMS warisan dan agen AMA yang berjalan secara paralel, cegah biaya duplikat dan data dengan memastikan bahwa setiap sumber data hanya menggunakan satu agen guna mengirim data ke Microsoft Sentinel.
Periksa ruang kerja Microsoft Sentinel Anda guna memastikan bahwa semua aliran data Anda telah diganti menggunakan konektor berbasis AMA yang baru.
Hapus instalan agen warisan. Untuk informasi selengkapnya, lihat Mengelola agen Azure Log Analytics .
Tanya Jawab Umum
FAQ berikut membahas masalah khusus guna migrasi AMA dengan Microsoft Sentinel. Untuk informasi selengkapnya, lihat juga Tanya jawab umum untuk migrasi AMA dan Tanya jawab umum untuk Agen Azure Monitor dalam dokumentasi Azure Monitor.
Apa yang terjadi jika saya menjalankan MMA/OMS dan AMA secara paralel dalam penyebaran Microsoft Sentinel saya?
Baik agen AMA dan MMA/OMS dapat bekerja berdampingan pada mesin yang sama. Jika keduanya mengirim data, dari sumber data yang sama ke ruang kerja Microsoft Sentinel, pada saat yang sama, dari satu host, peristiwa duplikat, dan biaya penyerapan ganda akan terjadi.
Untuk peluncuran produksi Anda, kami sarankan Anda mengonfigurasi agen MMA/OMS atau AMA untuk setiap sumber data. Untuk mengatasi masalah apa pun untuk duplikasi, lihat FAQ yang relevan di dokumentasi Azure Monitor.
AMA belum memiliki fitur yang dibutuhkan penyebaran Microsoft Sentinel saya untuk bekerja. Haruskah saya bermigrasi?
Agen Log Analytics warisan akan dihentikan pada 31 Agustus 2024.
Kami menyarankan Anda untuk tetap mendapatkan fitur-fitur baru yang dirilis untuk AMA dari waktu ke waktu, karena mencapai ke arah paritas dengan MMA/OMS. Bertujuan untuk bermigrasi segera setelah fitur yang Anda butuhkan guna menjalankan penyebaran Microsoft Sentinel Anda tersedia di AMA.
Meskipun dapat menjalankan MMA dan AMA secara bersamaan, Anda mungkin ingin memigrasikan setiap konektor, satu per satu, saat menjalankan kedua agen.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: