Microsoft Sentinelの AMA 移行

この記事では、既存の従来の Log Analytics エージェント (MMA/OMS) があり、Microsoft Sentinelを使用している場合の、Azure Monitor Agent (AMA) への移行プロセスについて説明します。

Log Analytics エージェントは、 2024 年 8 月 31 日に廃止されます。 Microsoft Sentinelデプロイで Log Analytics エージェントを使用している場合は、AMA に移行することをお勧めします。

前提条件

  • この移行プロセスのエージェントの比較と一般的な情報を提供するAzure Monitor ドキュメントから始めます。 この記事では、Microsoft Sentinelの具体的な詳細と相違点について説明します。

Azure モニター エージェントへの移行

各organizationには、成功プロセスと内部移行プロセスのメトリックが異なります。 このセクションでは、特にMicrosoft Sentinelのために Log Analytics MMA/OMS エージェントから AMA に移行する際に考慮すべき推奨ガイダンスを示します。

移行プロセスに次の手順を含めます

  1. Azure Monitor のドキュメントに記載されているように、必要な前提条件とその他の考慮事項を確認していることを確認してください。 詳細については、「 始める前に」を参照してください。

  2. 概念実証を実行して、AMA が開発環境またはサンドボックス環境でMicrosoft Sentinelにデータを送信する方法をテストします。

    1. Microsoft Sentinelで、Windows セキュリティ イベント Microsoft Sentinel ソリューションをインストールします。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。

    2. Windows マシンを Windows セキュリティ イベント コネクタに接続するには、Microsoft Sentinelの [AMA データ コネクタを使用したWindows セキュリティ イベント] ページから始めます。 詳細については、「 Windows エージェント ベースの接続」を参照してください。

    3. [ レガシ エージェント データ コネクタを使用したセキュリティ イベント ] ページに進みます。 [ 手順 ] タブの [ 構成>手順 2>ストリーミングするイベントを選択し、[なし] を選択 します。 これにより、MMA/OMS を介してセキュリティ イベントを受信しないようにシステムが構成されますが、このエージェントに依存している他のデータ ソースは引き続き機能します。 この手順は、現在の Log Analytics ワークスペースにレポートするすべてのマシンに影響します。

    重要

    2 種類のエージェントを使用して同じソースからデータを取り込むと、Microsoft Sentinel ワークスペースで二重インジェスト料金と重複イベントが発生します。

    両方のデータ コネクタを同時に実行したままにする必要がある場合は、ベンチマークまたはテスト比較アクティビティに限られた時間だけ実行することをお勧めします。理想的には、別のテスト ワークスペースで実行することをお勧めします。

  3. 概念実証の成功を測定します。

    この手順を支援するには、 AMA 移行トラッカー ブックを使用します。このブックには、ワークスペースに報告するサーバーと、レガシ MMA、AMA、または両方のエージェントがインストールされているかどうかが表示されます。 このブックを使用して、マシンからイベントを収集している DCR と、収集しているイベントを表示することもできます。

    ブックの上部にあるサブスクリプションとリソース グループを選択して、環境のデータを表示してください。 例:

    AMA 移行トラッカー ブックのスクリーンショット。

    詳細については、「Microsoft Sentinelのブックを使用してデータを視覚化および監視する」を参照してください。

    成功基準には、同じホスト上の MMA/OMS エージェントと AMA エージェントによって取り込まれた定量的データの統計分析と比較が含まれている必要があります。

    • 環境の通常のワークロードを表す定義済みの期間の成功を測定します。

    • テスト中に、AMA によって提供される各新機能 (Linuxマルチホーム、Windows イベント フィルタリングなど) をテストしてください。

    • organizationのリスク プロファイルと変更プロセスに従って、運用環境の AMA エージェントのロールアウトを計画します。

  4. 運用環境で新しいエージェントをロールアウトし、AMA 機能の最終テストを実行します。

  5. MMA を使用したセキュリティ イベントなど、レガシ コネクタに依存するすべてのデータ コネクタを切断します。 AMA を使用したWindows セキュリティ イベントなど、新しいコネクタは実行したままにします。

    従来の MMA/OMS エージェントと AMA エージェントの両方を並行して実行できますが、各データ ソースが 1 つのエージェントのみを使用してデータをMicrosoft Sentinelに送信するようにすることで、重複するコストとデータを防ぐことができます。

  6. Microsoft Sentinel ワークスペースを確認して、新しい AMA ベースのコネクタを使用してすべてのデータ ストリームが置き換えられていることを確認します。

  7. レガシ エージェントをアンインストールします。 詳細については、「Azure Log Analytics エージェントを管理する」を参照してください。

運用環境のロールアウトでは、データ ソースごとに AMA を構成することをお勧めします。 重複の問題に対処するには、Azure Monitor ドキュメントの関連 FAQ を参照してください。

関連コンテンツ

詳細については、以下を参照してください:

  • Last updated on