Migrazione ama per Microsoft Sentinel
Questo articolo descrive il processo di migrazione all'agente di Monitoraggio di Azure quando si dispone di un agente di Log Analytics esistente (MMA/OMS) e si lavora con Microsoft Sentinel.
Importante
L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione all'ama.
Prerequisiti
Iniziare con la documentazione di Monitoraggio di Azure che fornisce un confronto tra agenti e informazioni generali per questo processo di migrazione.
Questo articolo fornisce dettagli e differenze specifici per Microsoft Sentinel.
Analisi delle lacune tra gli agenti
L'agente di Monitoraggio di Azure offre funzionalità aggiuntive e una velocità effettiva superiore al 25% rispetto agli agenti di Log Analytics legacy. Eseguire la migrazione ai nuovi connettori AMA per ottenere prestazioni più elevate, soprattutto se si usano i server come server di inoltro dei log per gli eventi di sicurezza di Windows o gli eventi inoltrati.
L'agente di Monitoraggio di Azure offre le funzionalità aggiuntive seguenti, che non sono supportate dagli agenti di Log Analytics legacy:
| Tipo di registro | Funzionalità |
|---|---|
| Log di Windows | Filtro in base all'ID evento di sicurezza Inoltro di eventi di Windows |
| Log di Linux | Multihoming |
Gli unici log supportati solo dall'agente di Log Analytics legacy sono i log di Windows Firewall.
Piano di migrazione consigliato
Ogni organizzazione avrà metriche diverse per i processi di migrazione interni e riusciti. Questa sezione fornisce indicazioni suggerite da considerare durante la migrazione dall'agente MMA/OMS di Log Analytics all'ama, in particolare per Microsoft Sentinel.
Includere i passaggi seguenti nel processo di migrazione:
Assicurarsi di aver esaminato i prerequisiti necessari e altre considerazioni, come documentato qui nella documentazione di Monitoraggio di Azure.
Eseguire un modello di verifica per testare il modo in cui l'ama invia i dati a Microsoft Sentinel, idealmente in un ambiente di sviluppo o sandbox.
Per connettere i computer Windows al connettore eventi Sicurezza di Windows, iniziare con Sicurezza di Windows pagina Eventi tramite connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Connessioni basate su agente Windows.
Passare alla pagina Eventi di sicurezza tramite il connettore dati dell'agente legacy. Nella scheda Istruzioni, in Passaggio di configurazione> 2, Selezionare gli eventi da trasmettere, selezionare Nessuno. In questo modo il sistema viene configurato in modo che non si ricevano eventi di sicurezza tramite MMA/OMS, ma altre origini dati che si basano su questo agente continueranno a funzionare. Questo passaggio influisce su tutti i computer che segnalano all'area di lavoro Log Analytics corrente.
Importante
L'inserimento di dati dalla stessa origine usando due tipi diversi di agenti comporterà addebiti per l'inserimento doppio e eventi duplicati nell'area di lavoro di Microsoft Sentinel.
Se è necessario mantenere entrambi i connettori dati in esecuzione contemporaneamente, è consigliabile farlo solo per un periodo di tempo limitato per un'attività di benchmarking o di confronto dei test, idealmente in un'area di lavoro di test separata.
Misurare il successo del modello di verifica.
Per semplificare questo passaggio, usare la cartella di lavoro di Gestione migrazione ama, che visualizza i server che segnalano alle aree di lavoro e se hanno l'MMA legacy, l'AMA o entrambi gli agenti installati. È anche possibile usare questa cartella di lavoro per visualizzare i controller di dominio che raccolgono eventi dai computer e quali eventi raccolgono.
Ad esempio:
I criteri di esito positivo devono includere un'analisi statistica e un confronto dei dati quantitativi inseriti dagli agenti MMA/OMS e AMA nello stesso host:
Misurare il successo in un periodo di tempo predefinito che rappresenta un carico di lavoro normale per l'ambiente.
Durante i test, assicurarsi di testare ogni nuova funzionalità fornita dall'AMA, ad esempio multihoming Linux, filtro eventi di Windows e così via.
Pianificare l'implementazione degli agenti AMA nell'ambiente di produzione in base al profilo di rischio e ai processi di modifica dell'organizzazione.
Implementare il nuovo agente nell'ambiente di produzione ed eseguire un test finale della funzionalità AMA.
Disconnettere tutti i connettori dati che si basano sul connettore legacy, ad esempio Eventi di sicurezza con MMA. Lasciare il nuovo connettore, ad esempio Sicurezza di Windows Eventi con AMA, in esecuzione.
Anche se è possibile avere sia gli agenti MMA/OMS legacy che gli agenti AMA in esecuzione in parallelo, evitare costi e dati duplicati assicurandosi che ogni origine dati usi un solo agente per inviare dati a Microsoft Sentinel.
Controllare l'area di lavoro di Microsoft Sentinel per assicurarsi che tutti i flussi di dati siano stati sostituiti usando i nuovi connettori basati su AMA.
Disinstallare l'agente legacy. Per altre informazioni, vedere Gestire l'agente di Azure Log Analytics.
Domande frequenti
Le domande frequenti seguenti risoleno problemi specifici della migrazione ama con Microsoft Sentinel. Per altre informazioni, vedere anche domande frequenti sulla migrazione ama e domande frequenti sull'agente di Monitoraggio di Azure nella documentazione di Monitoraggio di Azure.
Cosa accade se si eseguono sia MMA che AMA in parallelo nella distribuzione di Microsoft Sentinel?
Gli agenti AMA e MMA/OMS possono coesistere nello stesso computer. Se entrambi inviano dati, dalla stessa origine dati a un'area di lavoro di Microsoft Sentinel, allo stesso tempo, da un singolo host, si verificheranno eventi duplicati e addebiti per l'inserimento doppio.
Per l'implementazione di produzione, è consigliabile configurare un agente MMA/OMS o l'ama per ogni origine dati. Per risolvere eventuali problemi di duplicazione, vedere le domande frequenti pertinenti nella documentazione di Monitoraggio di Azure.
L'ama non ha ancora le funzionalità necessarie per la distribuzione di Microsoft Sentinel. È ancora necessario eseguire la migrazione?
L'agente di Log Analytics legacy verrà ritirato il 31 agosto 2024.
È consigliabile rimanere aggiornati con le nuove funzionalità rilasciate per l'AMA nel corso del tempo, in quanto raggiunge la parità con MMA/OMS. Mirare a eseguire la migrazione non appena le funzionalità necessarie per eseguire la distribuzione di Microsoft Sentinel sono disponibili in Ama.
Sebbene sia possibile eseguire contemporaneamente MMA e AMA, è possibile eseguire la migrazione di ogni connettore, uno alla volta, durante l'esecuzione di entrambi gli agenti.
Passaggi successivi
Per altre informazioni, vedi: