Microsoft Sentinel の AMA 移行
この記事では、既に Log Analytics エージェント (MMA/OMS) があって Microsoft Sentinel と連携させている場合の Azure Monitor エージェント (AMA) への移行プロセスについて説明します。
重要
Log Analytics エージェントは、2024 年 8 月 31 日に廃止される予定です。 Microsoft Sentinel のデプロイで Log Analytics エージェントを使用している場合は、AMA への移行の計画を開始することをお勧めします。
前提条件
まず Azure Monitor のドキュメントをお読みください。この移行プロセスに関して、エージェントの比較や一般情報が紹介されています。
この記事では、Microsoft Sentinel にとっての具体的な情報と違いについて取り上げます。
エージェント間のギャップ分析
以下の表は、現在 Microsoft Sentinel でエージェントベースのデータ収集が利用されているログの種類のギャップ分析を示したものです。 これは、Log Analytics エージェントと同等になるように AMA がサポートされるに従って更新されます。
Windows ログ
| ログの種類/サポート | Azure Monitor エージェントのサポート | Log Analytics エージェントのサポート |
|---|---|---|
| セキュリティ イベント | Windows セキュリティ イベント データ コネクタ | Windows セキュリティ イベント データ コネクタ (レガシ) |
| セキュリティ イベント ID でのフィルタリング | Windows セキュリティ イベント データ コネクタ (AMA) | - |
| イベント ID でのフィルター処理 | 収集のみ | - |
| Windows イベント転送 | Windows の転送済みイベント | - |
| Windows ファイアウォール ログ | - | Windows ファイアウォール データ コネクタ |
| パフォーマンス カウンター | 収集のみ | 収集のみ |
| Windows (システム) イベント ログ | 収集のみ | 収集のみ |
| カスタム ログ (テキスト) | 収集のみ | 収集のみ |
| IIS ログ | 収集のみ | 収集のみ |
| マルチホーム | 収集のみ | 収集のみ |
| アプリケーションとサービス ログ | 収集のみ | 収集のみ |
| Sysmon | 収集のみ | 収集のみ |
| DNS ログ | AMA コネクタ経由の Windows DNS サーバー (パブリック プレビュー) | Windows DNS サーバー コネクタ (パブリック プレビュー) |
重要
Azure Monitor エージェントは、従来の Log Analytics エージェントよりも 25% 優れたスループットを提供します。 特に、Windows セキュリティ イベントまたは転送済みイベントのログ フォワーダーとしてサーバーを使用している場合は、新しい AMA コネクタに移行してパフォーマンスを向上させます。
Linux ログ
| ログの種類/サポート | Azure Monitor エージェントのサポート | Log Analytics エージェントのサポート |
|---|---|---|
| Syslog | 収集のみ | Syslog データ コネクタ |
| Common Event Format (CEF) | AMA データ コネクタ経由の CEF | CEF データ コネクタ |
| Sysmon | 収集のみ | 収集のみ |
| カスタム ログ (テキスト) | 収集のみ | 収集のみ |
| マルチホーム | 収集のみ | - |
推奨される移行プラン
成功のメトリックと社内の移行プロセスは組織ごとに異なります。 このセクションでは、特に Microsoft Sentinel 用に、Log Analytics MMA/OMS エージェントから AMA に移行する際に考慮すべき推奨ガイダンスを紹介します。
移行プロセスには、次の手順を含めるようにします。
Azure Monitor ドキュメントに記載されているように、必要な前提条件とその他の考慮事項を必ず確認してください。
Microsoft Sentinel に対して AMA からどのようにデータが送信されるのかをテストする概念実証を、可能であれば開発環境またはサンドボックス環境で行います。
Windows マシンを Windows セキュリティ イベント コネクタに接続するには、Microsoft Sentinel の [AMA を使用した Windows セキュリティ イベント] データ コネクタ ページが出発点となります。 詳細については、「Windows エージェントベースの接続」を参照してください。
[レガシ エージェントを使用したセキュリティ イベント] データ コネクタ ページに移動します。 [手順] タブの [構成] のステップ 2 ([ストリーミングするイベントを選択する]) で [なし] を選択します。 これで、MMA/OMS からセキュリティ イベントを受け取らないようにシステムが構成されます。ただし、このエージェントを利用する他のデータ ソースは引き続き正しく動作します。 この手順は、現在の Log Analytics ワークスペースをレポート先とするすべてのマシンに影響します。
重要
2 種類のエージェントを使用して同じソースからデータを取り込んだ場合、インジェスト料金が二重に発生し、また Microsoft Sentinel ワークスペースにもイベントの重複が生じます。
同時に両方のデータ コネクタを実行したままにする必要がある場合、ベンチマーク (比較テストの作業) のために限られた時間だけ、理想的には独立したテスト ワークスペース内で行うことをお勧めします。
概念実証の成功を評価します。
この手順を効率よく行うために、AMA 移行トラッカー ブックを使用してください。自分のワークスペースをレポート先とするサーバーが表示され、そこにインストールされているエージェントが、レガシ MMA か、AMA か、またはその両方かが表示されます。 また、マシンからイベントを収集している DCR とその収集対象になっているイベントも、このブックを使用して確認できます。
次に例を示します。
成功の基準には、同じホストの MMA/OMS および AMA エージェントによって取り込まれた定量的データの統計的分析と比較を含めるようにしてください。
ご利用の環境の標準的なワークロードを表す定義済みの時間で成功を評価します。
テスト中は、Linux マルチホームや Windows イベント フィルタリングなど、AMA に新たに導入された各機能を必ずテストしてください。
運用環境に対する AMA エージェントのロールアウトを、組織のリスク プロファイルと変更プロセスに沿って計画します。
運用環境に新しいエージェントをロールアウトして、AMA 機能の最終テストを行います。
MMA を使用したセキュリティ イベントなど、レガシ コネクタが利用されているデータ コネクタを切断します。 AMA を使用した Windows セキュリティ イベントなど、新しいコネクタは実行したままにします。
レガシ MMA/OMS と AMA の両方のエージェントを並列に実行することもできますが、Microsoft Sentinel にデータを送信するエージェントは各データ ソースにつき 1 つだけにして、コストとデータの重複を防ぐようにしてください。
Microsoft Sentinel ワークスペースをチェックして、すべてのデータ ストリームが新しい AMA ベースのコネクタを使用して置き換えられていることを確かめます。
レガシ エージェントをアンインストールします。 詳細については、Azure Log Analytics エージェントの管理に関するページを参照してください。
FAQ
以下の FAQ は、Microsoft Sentinel の AMA 移行に特有の問題への回答です。 詳細については、Azure Monitor ドキュメントのAMA 移行に関してよく寄せられる質問およびAzure Monitor エージェントに関してよく寄せられる質問も参照してください。
Microsoft Sentinel デプロイで MMA/OMS と AMA の両方を並列に実行するとどうなりますか?
AMA と MMA/OMS の両方のエージェントを同じマシンに共存させることができます。 両方が 1 つのホストからデータを、同じデータ ソースから Microsoft Sentinel ワークスペースに同時に送信すると、重複したイベントや二重のインジェスト料金が発生します。
運用環境のロールアウトでは、データ ソースごとに、MMA/OMS エージェントまたは AMA のどちらか一方を構成することをお勧めします。 重複の問題に対処するには、Azure Monitor のドキュメントで、関連する FAQ を参照してください。
私の Microsoft Sentinel デプロイが正しく動作するために必要な機能が AMA にはまだありません。 移行するべきでしょうか?
レガシ Log Analytics エージェントは 2024 年 8 月 31 日に廃止される予定です。
今後 AMA 向けにリリースされる新機能についての最新情報をチェックすることをお勧めします。MMA/OMS と等価の状態に近づいていきます。 ご利用の Microsoft Sentinel デプロイを実行するために必要な機能が AMA で利用できるようになった時点ですぐに移行するよう目標を設定してください。
MMA と AMA は同時に実行できるので、両方のエージェントを実行しながら、各コネクタを 1 つずつ移行することをお勧めします。
次のステップ
詳細については、次を参照してください。