Preparare il ritiro dell'agente di Log Analytics

Articolo
05/03/2024

L'agente di Log Analytics, noto anche come Microsoft Monitoring Agent (MMA), viene ritirato nel mese di agosto 2024. Di conseguenza, Defender per server e Defender per SQL nei piani dei computer in Microsoft Defender per il cloud verranno aggiornate e le funzionalità che si basano sull'agente di Log Analytics verranno riprogettati.

Questo articolo riepiloga i piani per il ritiro dell'agente.

Preparazione di Defender per server

Il piano Defender per server usa l'agente di Log Analytics nella disponibilità generale (GA) e in AMA per alcune funzionalità (in anteprima). Ecco cosa accade con queste funzionalità in futuro:

Per semplificare l'onboarding, tutte le funzionalità e le funzionalità di sicurezza di Defender per server verranno fornite con un singolo agente (Microsoft Defender per endpoint), completato dall'analisi automatica senza agente, senza alcuna dipendenza dall'agente di Log Analytics o da AMA. Si noti che:

Le funzionalità di Defender per server, basate su AMA, sono attualmente in anteprima e non verranno rilasciate a livello generale. 
Le funzionalità in anteprima che si basano su AMA rimangono supportate fino a quando non viene fornita una versione alternativa della funzionalità, che si basa sull'integrazione di Defender per endpoint o sulla funzionalità di analisi del computer senza agente.
Abilitando l'integrazione di Defender per endpoint e la funzionalità di analisi automatica senza agente prima che venga eseguita la deprecazione, la distribuzione di Defender per server sarà aggiornata e supportata.

Funzionalità

La tabella seguente riepiloga il modo in cui verranno fornite le funzionalità di Defender per server. La maggior parte delle funzionalità è già disponibile a livello generale usando l'integrazione di Defender per endpoint o l'analisi automatica senza agente. Il resto delle funzionalità sarà disponibile a livello generale al momento del ritiro dell'MMA o sarà deprecato.

Funzionalità	Supporto corrente	Nuovo supporto	Nuovo stato dell'esperienza
Integrazione di Defender per endpoint per computer Windows di livello inferiore (Windows Server 2016/2012 R2)	Sensore Legacy Defender per endpoint, basato sull'agente di Log Analytics	Integrazione dell'agente unificato	- La funzionalità con l'agente unificato è disponibile a livello generale. - La funzionalità con il sensore legacy defender per endpoint che usa l'agente di Log Analytics sarà deprecata nel mese di agosto 2024.
Rilevamento delle minacce a livello di sistema operativo	Agente di Log Analytics	Integrazione dell'agente defender per endpoint	La funzionalità con l'agente defender per endpoint è disponibile a livello generale.
Controlli applicazioni adattivi	Agente di Log Analytics (GA), AMA (anteprima)	---	La funzionalità di controllo applicazioni adattivo è impostata per essere deprecata nell'agosto 2024.
Raccomandazioni per l'individuazione di Endpoint Protection	Consigli disponibili tramite il piano Foundational Cloud Security Posture Management (CSPM) e Defender per server, usando l'agente di Log Analytics (GA), AMA (anteprima)	Analisi automatica senza agente	- La funzionalità con l'analisi automatica senza agente verrà rilasciata in anteprima a febbraio 2024 come parte del piano Defender per server Piano 2 e del piano CSPM di Defender. - Le macchine virtuali di Azure, le istanze di Google Cloud Platform (GCP) e le istanze di Amazon Web Services (AWS) saranno supportate. I computer locali non saranno supportati.
Raccomandazione per l'aggiornamento del sistema operativo mancante	Consigli disponibili nei piani di Foundational CSPM e Defender for Servers usando l'agente di Log Analytics.	Integrazione con Update Manager, Microsoft	Le nuove raccomandazioni basate sull'integrazione di Azure Update Manager sono disponibili a livello generale, senza dipendenze dell'agente.
Configurazioni errate del sistema operativo (Microsoft Cloud Security Benchmark)	Consigli disponibili tramite i piani Foundational CSPM e Defender for Servers usando l'agente di Log Analytics, l'agente di configurazione guest (anteprima).	Gestione delle vulnerabilità di Microsoft Defender Premium, come parte di Defender per server piano 2.	- La funzionalità basata sull'integrazione con Gestione delle vulnerabilità di Microsoft Defender Premium sarà disponibile in anteprima intorno ad aprile 2024. - La funzionalità con l'agente di Log Analytics verrà deprecata nell'agosto 2024 - La funzionalità con l'agente di configurazione guest (anteprima) verrà deprecata quando la Gestione delle vulnerabilità di Microsoft Defender è disponibile. - Il supporto di questa funzionalità per Docker-hub e Azure set di scalabilità di macchine virtuali sarà deprecato nell'agosto 2024.
Monitoraggio dell'integrità dei file	Agente di Log Analytics, AMA (anteprima)	Integrazione dell'agente defender per endpoint	La funzionalità con l'agente di Defender per endpoint sarà disponibile intorno ad aprile 2024. - La funzionalità con l'agente di Log Analytics sarà deprecata nel mese di agosto 2024. - La funzionalità con AMA verrà deprecata quando viene rilasciata l'integrazione di Defender per endpoint.

Il vantaggio di 500 MB per l'inserimento dei dati nelle tabelle definite rimane supportato tramite l'agente AMA per i computer nelle sottoscrizioni coperte da Defender per server piano 2. Ogni computer è idoneo per il vantaggio una sola volta, anche se sono installati sia l'agente di Log Analytics che l'agente di Monitoraggio di Azure. Altre informazioni su come distribuire AMA.

Per i server SQL nei computer, è consigliabile eseguire la migrazione al processo di provisioning automatico di Azure Monitoring Agent (AMA) di SQL Server.

Esperienza di raccomandazioni di Endpoint Protection - Linee guida per le modifiche e la migrazione

L'individuazione degli endpoint e le raccomandazioni sono attualmente disponibili nei piani di Defender per il cloud Foundational CSPM e Defender for Servers usando l'agente di Log Analytics in disponibilità generale o in anteprima tramite l'ama. Questa esperienza verrà sostituita da raccomandazioni di sicurezza raccolte tramite l'analisi automatica senza agente. 

Le raccomandazioni di Endpoint Protection vengono create in due fasi. La prima fase è l'individuazione di una soluzione rilevamento e reazione dagli endpoint. La seconda è la valutazione della configurazione della soluzione. Le tabelle seguenti forniscono informazioni dettagliate sulle esperienze correnti e nuove per ogni fase.

Informazioni su come gestire le nuove raccomandazioni rilevamento e reazione dagli endpoint (senza agente).

Soluzione di rilevamento e risposta degli endpoint - Individuazione

Area	Esperienza corrente (basata su AMA/MMA)	Nuova esperienza (basata sull'analisi automatica senza agente)
Cosa serve per classificare una risorsa come integra?	È in atto un antivirus.	È disponibile una soluzione rilevamento e reazione dagli endpoint.
Cosa serve per ottenere la raccomandazione?	Agente di Log Analytics	Analisi automatica senza agente
Quali piani sono supportati?	- Foundational CSPM (gratuito) - Defender per server Piano 1 e Piano 2	- Defender CSPM - Defender per server piano 2
Quale correzione è disponibile?	Installare microsoft antimalware.	Installare Defender per endpoint in computer/sottoscrizioni selezionati.

Soluzione di rilevamento e risposta degli endpoint - Valutazione della configurazione

Area	Esperienza corrente (basata su AMA/MMA)	Nuova esperienza (basata sull'analisi automatica senza agente)
Le risorse vengono classificate come non integre se uno o più controlli di sicurezza non sono integri.	Tre controlli di sicurezza: - La protezione in tempo reale è disattivata - Le firme non sono aggiornate. - L'analisi rapida e l'analisi completa non vengono eseguite per sette giorni.	Tre controlli di sicurezza: - L'antivirus è disattivato o parzialmente configurato - Le firme non sono aggiornate - L'analisi rapida e l'analisi completa non vengono eseguite per sette giorni.
Prerequisiti per ottenere la raccomandazione	Una soluzione antimalware sul posto	Soluzione rilevamento e reazione dagli endpoint sul posto.

Quali raccomandazioni sono deprecate?

La tabella seguente riepiloga il calendario delle raccomandazioni deprecate e sostituite.

Elemento consigliato	Agente	Risorse supportate	Data di deprecazione	Raccomandazione di sostituzione
Endpoint Protection deve essere installato nei computer (pubblico)	MMA/AMA	Azure & non Azure (Windows & Linux)	Marzo 2024	Nuova raccomandazione senza agente
I problemi di integrità di Endpoint Protection devono essere risolti nei computer (pubblico)	MMA/AMA	Azure (Windows)	Marzo 2024	Nuova raccomandazione senza agente
Gli errori di integrità di Endpoint Protection nei set di scalabilità di macchine virtuali devono essere risolti	MMA	Set di scalabilità di macchine virtuali di Azure	Agosto 2024	Nessuna sostituzione
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali	MMA	Set di scalabilità di macchine virtuali di Azure	Agosto 2024	Nessuna sostituzione
La soluzione Endpoint Protection deve trovarsi nei computer	MMA	Risorse non di Azure (Windows)	Agosto 2024	Nessuna sostituzione
Installare la soluzione di protezione degli endpoint nei computer	MMA	Azure e non Azure (Windows)	Agosto 2024	Nuova raccomandazione senza agente
È necessario risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali	MMA	Azure e non Azure (Windows e Linux)	Agosto 2024	Nuova raccomandazione senza agente.

La nuova esperienza consigliata basata sull'analisi automatica senza agente supporta sia il sistema operativo Windows che Linux nei computer multicloud.

Come funzionerà la sostituzione?

Le raccomandazioni correnti fornite dall'agente di Log Analytics o dall'ama verranno deprecate nel tempo.
Alcune di queste raccomandazioni esistenti verranno sostituite da nuove raccomandazioni basate sull'analisi automatica senza agente.
Consigli attualmente in disponibilità generale rimangono attivi fino al ritiro dell'agente di Log Analytics.
Consigli attualmente in anteprima verranno sostituiti quando la nuova raccomandazione è disponibile in anteprima.

Cosa succede con il punteggio di sicurezza?

Consigli attualmente in disponibilità generale continueranno a influire sul punteggio di sicurezza. 
Le nuove raccomandazioni attuali e future si trovano nello stesso controllo di Microsoft Cloud Security Benchmark, assicurandosi che non vi sia alcun impatto duplicato sul punteggio di sicurezza.

Ricerca per categorie prepararsi per le nuove raccomandazioni?

Assicurarsi che l'analisi dei computer senza agente sia abilitata come parte di Defender per server piano 2 o Defender CSPM.
Se adatto per l'ambiente in uso, per un'esperienza ottimale è consigliabile rimuovere le raccomandazioni deprecate quando la raccomandazione di sostituzione ga diventa disponibile. A tale scopo, disabilitare la raccomandazione nell'iniziativa di Defender per il cloud predefinita in Criteri di Azure.

Esperienza di monitoraggio dell'integrità dei file - Linee guida per le modifiche e la migrazione

Microsoft Defender per server Piano 2 offre ora una nuova soluzione FIM (File Integrity Monitoring) basata sull'integrazione Microsoft Defender per endpoint (MDE). Una volta che FIM alimentato da MDE è pubblico, l'esperienza FIM basata su AMA nel portale di Defender per il cloud verrà rimossa. A ottobre, FIM alimentato da MMA sarà deprecato.

Migrazione da FIM su AMA

Se attualmente si usa FIM su AMA:

L'onboarding di nuove sottoscrizioni o server in FIM basato su AMA e l'estensione di rilevamento delle modifiche, oltre a visualizzare le modifiche, non saranno più disponibili tramite il portale di Defender per il cloud a partire dal 30 maggio.
Se si desidera continuare a usare gli eventi FIM raccolti da AMA, è possibile connettersi manualmente all'area di lavoro pertinente e visualizzare le modifiche nella tabella Rilevamento modifiche con la query seguente:
```
ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType
```
Per continuare l'onboarding di nuovi ambiti o configurare le regole di monitoraggio, è possibile usare manualmente le regole di Connessione ion dei dati per configurare o personalizzare vari aspetti della raccolta dati.
Microsoft Defender per il cloud consiglia di disabilitare FIM su AMA e di caricare l'ambiente nella nuova versione FIM basata su Defender per endpoint al rilascio.

Disabilitazione di FIM su AMA

Per disabilitare FIM su AMA, rimuovere la soluzione azure Rilevamento modifiche. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.

In alternativa, è possibile rimuovere le regole di raccolta dei dati di rilevamento modifiche dei file correlate. Per altre informazioni, vedere Remove-AzDataCollectionRuleAssociation o Remove-AzDataCollectionRule.

Dopo aver disabilitato la raccolta di eventi di file usando uno dei metodi precedenti:

I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange della sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.

Migrazione da FIM tramite l'agente di Log Analytics (MMA)

Se attualmente si usa FIM tramite l'agente di Log Analytics :If you currently use FIM over the Log Analytics Agent (MMA):

Il monitoraggio dell'integrità dei file basato sull'agente di Log Analytics (MMA) sarà deprecato nell'ottobre 2024.
Microsoft Defender per il cloud consiglia di disabilitare FIM su MMA e di eseguire l'onboarding dell'ambiente nella nuova versione FIM basata su Defender per endpoint al rilascio.

Disabilitazione di FIM su MMA

Per disabilitare FIM su MMA, rimuovere la soluzione azure Rilevamento modifiche. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.

Dopo aver disabilitato la raccolta di eventi di file:

I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange della sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.

Preparazione di Defender per SQL nei computer

Per altre informazioni sul piano di deprecazione dell'agente di Log Analytics, vedere Defender per SQL Server.

Se si usa il processo di provisioning automatico dell'agente di Log Analytics o dell'agente di Monitoraggio di Azure, è consigliabile eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer che eseguono il provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.

Eseguire la migrazione al processo di provisioning automatico ama di destinazione di SQL Server

Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
Nel piano Database selezionare Azione obbligatoria.
Nella finestra a comparsa selezionare Abilita.
Seleziona Salva.

Dopo aver abilitato il processo di provisioning automatico ama di destinazione sql server, è necessario disabilitare il processo di provisioning automatico dell'agente di Log Analytics o dell'agente di Monitoraggio di Azure e disinstallare MMA in tutti i server SQL:

Per disabilitare l'agente di Log Analytics:

Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
In Piano di database selezionare Impostazioni.
Attivare o disattivare l'agente di Log Analytics.
Seleziona Continua.
Seleziona Salva.

Pianificazione della migrazione

È consigliabile pianificare la migrazione dell'agente in base ai requisiti aziendali. La tabella riepiloga le linee guida.

Si usa Defender per server?	Queste funzionalità di Defender per server sono necessarie in disponibilità generale: monitoraggio dell'integrità dei file, raccomandazioni sulla protezione degli endpoint, raccomandazioni sulla baseline di sicurezza?	Si usa Defender per i server SQL nei computer o nella raccolta di log ama?	Piano di migrazione
Sì	Sì	No	1. Abilitare l'integrazione di Defender per endpoint e l'analisi automatica senza agente. 2. Attendere la disponibilità generale di tutte le funzionalità con la piattaforma alternativa (è possibile usare la versione di anteprima precedente). 3. Una volta che le funzionalità sono disponibili a livello generale, disabilitare l'agente di Log Analytics.
No	---	No	È ora possibile rimuovere l'agente di Log Analytics.
No	---	Sì	1. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA . 2. Disabilitare l'agente di Log Analytics/Monitoraggio di Azure.
Sì	Sì	Sì	1. Abilitare l'integrazione di Defender per endpoint e l'analisi automatica senza agente. 2. È possibile usare l'agente di Log Analytics e AMA side-by-side per ottenere tutte le funzionalità nella disponibilità generale. Altre informazioni sull'esecuzione di agenti side-by-side. 3. Eseguire la migrazione al provisioning automatico SQL per AMA in Defender per SQL nei computer. In alternativa, avviare la migrazione dall'agente di Log Analytics ad AMA nel mese di aprile 2024. 4. Al termine della migrazione, disabilitare l'agente di Log Analytics.
Sì	No	Sì	1. Abilitare l'integrazione di Defender per endpoint e l'analisi automatica senza agente. 2. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA in Defender per SQL nei computer. 3. Disabilitare l'agente di Log Analytics.

Passaggio successivo

Modifiche imminenti al piano e alla strategia di Defender per il cloud per la deprecazione dell'agente di Log Analytics

Share via