Microsoft Sentinel에 대한 AMA 마이그레이션

아티클
03/09/2023

이 문서에서는 기존 Log Analytics 에이전트(MMA/OMS)가 있고 Microsoft Sentinel을 사용하는 경우 AMA(Azure Monitor 에이전트)로 마이그레이션하는 프로세스에 대해 설명합니다.

Important

Log Analytics 에이전트는 2024년 8월 31일에 사용 중지됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용하는 경우 AMA로의 마이그레이션 계획을 시작하는 것이 좋습니다.

필수 조건

이 마이그레이션 프로세스에 대한 일반적인 정보와 에이전트 비교를 제공하는 Azure Monitor 설명서에서 시작합니다.

이 문서에서는 Microsoft Sentinel에 대한 구체적인 세부 정보와 차이점을 제공합니다.

에이전트 간 차이점 분석

다음 표에서는 현재 Microsoft Sentinel을 위해 에이전트 기반 데이터 수집을 사용하는 로그 유형에 대한 차이점 분석을 보여 줍니다. 이 내용은 AMA 지원이 Log Analytics 에이전트와 동등하게 증가함에 따라 업데이트됩니다.

Windows 로그

로그 유형/지원	Azure Monitor 에이전트 지원	Log Analytics 에이전트 지원
보안 이벤트	Windows 보안 이벤트 데이터 커넥터	Windows 보안 이벤트 데이터 커넥터(레거시)
보안 이벤트 ID로 필터링	Windows 보안 이벤트 데이터 커넥터(AMA)	-
이벤트 ID로 필터링	수집만 해당	-
Windows 이벤트 전달	Windows 전달 이벤트	-
Windows 방화벽 로그	-	Windows 방화벽 데이터 커넥터
성능 카운터	수집만 해당	수집만 해당
Windows(시스템) 이벤트 로그	수집만 해당	수집만 해당
사용자 지정 로그(텍스트)	수집만 해당	수집만 해당
IIS 로그	수집만 해당	수집만 해당
멀티 호밍	수집만 해당	수집만 해당
애플리케이션 및 서비스 로그	수집만 해당	수집만 해당
Sysmon	수집만 해당	수집만 해당
DNS 로그	AMA를 통한 Windows DNS 서버 커넥터(공개 미리 보기)	Windows DNS 서버 커넥터(공개 미리 보기)

Important

Azure Monitor 에이전트는 레거시 Log Analytics 에이전트보다 25% 더 나은 처리량을 제공합니다. 특히 Windows 보안 이벤트 또는 전달된 이벤트에 대한 로그 전달자로 서버를 사용하는 경우 성능을 높이려면 새 AMA 커넥터로 마이그레이션합니다.

Linux 로그

로그 유형/지원	Azure Monitor 에이전트 지원	Log Analytics 에이전트 지원
Syslog	수집만 해당	Syslog 데이터 커넥터
Common Event Format(CEF)	AMA 데이터 커넥터를 통한 CEF	CEF 데이터 커넥터
Sysmon	수집만 해당	수집만 해당
사용자 지정 로그(텍스트)	수집만 해당	수집만 해당
멀티 호밍	수집만 해당	-

권장 마이그레이션 계획

각 조직에는 성공 및 내부 마이그레이션 프로세스에 대한 다양한 메트릭이 있습니다. 이 섹션에서는 특히 Microsoft Sentinel을 위해 Log Analytics MMA/OMS 에이전트에서 AMA로 마이그레이션할 때 고려해야 할 권장 지침을 제공합니다.

마이그레이션 프로세스에 다음 단계를 포함합니다.

Azure Monitor 설명서에 설명된 대로 필요한 필수 구성 요소 및 기타 고려 사항을 검토했는지 확인합니다.
개념 증명을 실행하여 AMA가 개발 또는 샌드박스 환경에서 Microsoft Sentinel로 데이터를 보내는 방법을 테스트합니다.
1. Windows 보안 이벤트 커넥터에 Windows 머신을 연결하려면 Microsoft Sentinel의 AMA를 통한 Windows 보안 이벤트 데이터 커넥터 페이지에서 시작합니다. 자세한 내용은 Windows 에이전트 기반 연결을 참조하세요.
2. 레거시 에이전트를 통한 보안 이벤트 데이터 커넥터 페이지로 이동합니다. 지침 탭의 구성> 2단계, 스트리밍할 이벤트 선택에서 없음을 선택합니다. 이렇게 하면 MMA/OMS를 통해 보안 이벤트를 받지 않도록 시스템이 구성되지만, 이 에이전트를 사용하는 다른 데이터 원본은 계속 작동합니다. 이 단계는 현재 Log Analytics 작업 영역에 보고하는 모든 머신에 영향을 줍니다.
Important

두 가지 유형의 에이전트를 사용하여 동일한 원본에서 데이터를 수집하면 Microsoft Sentinel 작업 영역에서 이중 수집 요금과 중복 이벤트가 발생합니다.

두 데이터 커넥터를 동시에 실행해야 하는 경우, 벤치마킹 또는 테스트 비교 작업을 위해 제한된 시간 동안만 별도의 테스트 작업 영역에서 실행하는 것이 좋습니다.
개념 증명의 성공을 측정합니다.

이 단계를 지원하려면 작업 영역에 보고하는 서버와 레거시 MMA, AMA 또는 두 에이전트가 모두 설치되어 있는지를 표시하는 AMA 마이그레이션 추적기 통합 문서를 사용합니다. 이 통합 문서를 사용하여 머신에서 이벤트를 수집하는 DCR과 수집 중인 이벤트를 볼 수도 있습니다.

예시:

성공 조건에는 동일한 호스트의 MMA/OMS 및 AMA 에이전트가 수집한 양적 데이터의 통계적 분석과 비교가 포함되어야 합니다.
- 환경에 대한 일반 워크로드를 나타내는 미리 정의된 기간 동안의 성공을 측정합니다.
- 테스트하는 동안 Linux 멀티 호밍, Windows 이벤트 필터링 등 AMA에서 제공하는 새로운 기능을 각각 테스트해야 합니다.
- 조직의 위험 프로필과 변경 프로세스에 따라 프로덕션 환경의 AMA 에이전트 롤아웃을 계획합니다.
프로덕션 환경에서 새 에이전트를 롤아웃하고 AMA 기능에 대한 최종 테스트를 실행합니다.
MMA를 사용한 보안 이벤트와 같은 레거시 커넥터를 사용하는 데이터 커넥터의 연결을 모두 끊습니다. AMA를 사용한 Windows 보안 이벤트와 같은 새 커넥터를 실행 상태로 둡니다.

레거시 MMA/OMS와 AMA 에이전트를 병렬로 실행할 수 있지만 각 데이터 원본이 하나의 에이전트만 사용하여 Microsoft Sentinel로 데이터를 보내도록 하여 중복 비용 및 데이터를 방지합니다.
Microsoft Sentinel 작업 영역을 검사하여 모든 데이터 스트림이 새 AMA 기반 커넥터를 사용하여 대체되었는지 확인합니다.
레거시 에이전트를 제거합니다. 자세한 내용은 Azure Log Analytics 에이전트 관리를 참조하세요.

FAQ

다음 FAQ는 Microsoft Sentinel을 사용한 AMA 마이그레이션과 관련된 문제를 해결합니다. 자세한 내용은 Azure Monitor 설명서에서 AMA 마이그레이션 에 대한 질문과 Azure Monitor 에이전트 에 대한 질문과 대답을 참조하세요.

Microsoft Sentinel 배포에서 MMA/OMS와 AMA를 병렬로 실행하면 어떻게 되나요?

AMA 및 MMA/OMS 에이전트가 동일한 머신에 공존할 수 있습니다. 둘 다 동일한 데이터 원본에서 Microsoft Sentinel 작업 영역으로 동시에 데이터를 보내는 경우 단일 호스트에서 중복 이벤트와 이중 수집 요금이 발생합니다.

프로덕션 롤아웃의 경우 각 데이터 원본에 대해 MMA/OMS 에이전트 또는 AMA 중 하나를 구성하는 것이 좋습니다. 중복 문제를 해결하려면 Azure Monitor 설명서에서 관련 FAQ를 참조하세요.

AMA에는 내 Microsoft Sentinel 배포가 작동하는 데 필요한 기능이 아직 없습니다. 그래도 마이그레이션해야 하나요?

레거시 Log Analytics 에이전트는 2024년 8월 31일에 사용 중지됩니다.

시간이 지남에 따라 AMA에 대한 새로운 기능이 릴리스되어 MMA/OMS와 동등해지므로 최신 상태로 유지하는 것이 좋습니다. Microsoft Sentinel 배포를 실행하는 데 필요한 기능이 AMA에서 제공되는 즉시 마이그레이션할 것을 목표로 합니다.

MMA와 AMA를 동시에 실행할 수 있지만, 두 에이전트를 모두 실행하는 동안 각 커넥터를 한 번에 하나씩 마이그레이션하는 것이 좋습니다.

다음 단계

자세한 내용은 다음을 참조하세요.