Voorbereiden op buitengebruikstelling van de Log Analytics-agent

Artikel
05/03/2024

De Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA), wordt in augustus 2024 buiten gebruik gesteld. Als gevolg hiervan worden de abonnementen Defender voor Servers en Defender voor SQL op machines in Microsoft Defender voor Cloud bijgewerkt en worden functies die afhankelijk zijn van de Log Analytics-agent opnieuw ontworpen.

In dit artikel vindt u een overzicht van de plannen voor buitengebruikstelling van agents.

Defender voorbereiden voor servers

Het Defender for Servers-plan maakt gebruik van de Log Analytics-agent in algemene beschikbaarheid (GA) en in AMA voor sommige functies (in preview). Dit gebeurt er in de toekomst met deze functies:

Ter vereenvoudiging van de onboarding worden alle beveiligingsfuncties en -mogelijkheden van Defender for Servers geleverd met één agent (Microsoft Defender voor Eindpunt), aangevuld met machinescans zonder agent, zonder enige afhankelijkheid van de Log Analytics-agent of AMA. Houd er rekening mee dat:

Defender for Servers-functies, die zijn gebaseerd op AMA, zijn momenteel in preview en worden niet uitgebracht in algemene beschikbaarheid. 
Functies in preview die afhankelijk zijn van AMA blijven ondersteund totdat er een alternatieve versie van de functie is opgegeven, die afhankelijk is van de integratie van Defender voor Eindpunt of de functie voor het scannen van machines zonder agent.
Door de functie defender voor eindpuntintegratie en het scannen van machines zonder agent in te schakelen voordat de afschaffing plaatsvindt, wordt de implementatie van Defender for Servers bijgewerkt en ondersteund.

Functiefunctionaliteit

De volgende tabel bevat een overzicht van de wijze waarop defender voor servers-functies worden geleverd. De meeste functies zijn al algemeen beschikbaar met behulp van Defender for Endpoint-integratie of het scannen van machines zonder agent. De rest van de functies is beschikbaar in algemene beschikbaarheid op het moment dat de MMA buiten gebruik wordt gesteld of wordt afgeschaft.

Functie	Huidige ondersteuning	Nieuwe ondersteuning	Nieuwe ervaringsstatus
Integratie van Defender voor Eindpunt voor Windows-machines op lager niveau (Windows Server 2016/2012 R2)	Verouderde Defender voor Eindpunt-sensor, op basis van de Log Analytics-agent	Geïntegreerde agentintegratie	- Functionaliteit met de geïntegreerde agent is GA. - Functionaliteit met de verouderde Defender voor Eindpunt-sensor met behulp van de Log Analytics-agent wordt in augustus 2024 afgeschaft.
Detectie van bedreigingen op besturingssysteemniveau	Log Analytics-agent	Integratie van Defender for Endpoint-agent	Functionaliteit met de Defender for Endpoint-agent is algemeen beschikbaar.
Adaptieve toepassingsregelaars	Log Analytics-agent (GA), AMA (preview)	---	De functie voor adaptief toepassingsbeheer wordt in augustus 2024 afgeschaft.
Aanbevelingen voor eindpuntbeveiligingsdetectie	Aanbevelingen die beschikbaar zijn via het CSPM-plan (Foundational Cloud Security Posture Management) en Defender for Servers, met behulp van de Log Analytics-agent (GA), AMA (preview)	Scannen van machines zonder agent	- Functionaliteit met machinescans zonder agent wordt in februari 2024 uitgebracht voor preview als onderdeel van Defender voor Servers-abonnement 2 en het Defender CSPM-abonnement. - Azure-VM's, GCP-exemplaren (Google Cloud Platform) en AWS-exemplaren (Amazon Web Services) worden ondersteund. On-premises machines worden niet ondersteund.
Aanbeveling voor ontbrekende update van besturingssysteem	Aanbevelingen beschikbaar in de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent.	Integratie met Update Manager, Microsoft	Nieuwe aanbevelingen op basis van Azure Update Manager-integratie zijn algemeen beschikbaar, zonder agentafhankelijkheden.
Onjuiste configuraties van het besturingssysteem (Microsoft Cloud Security Benchmark)	Aanbevelingen die beschikbaar zijn via de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent, gastconfiguratieagent (preview).	Microsoft Defender Vulnerability Management Premium, als onderdeel van Defender for Servers Plan 2.	- Functionaliteit op basis van integratie met Microsoft Defender Vulnerability Management Premium is beschikbaar in preview rond april 2024. - Functionaliteit met de Log Analytics-agent wordt in augustus 2024 afgeschaft - Functionaliteit met gastconfiguratieagent (preview) wordt afgeschaft wanneer microsoft Defender Vulnerability Management beschikbaar is. - Ondersteuning van deze functie voor Docker-hub en Virtuele-machineschaalsets van Azure wordt in aug 2024 afgeschaft.
Bestandsintegriteit controleren	Log Analytics-agent, AMA (preview)	Integratie van Defender for Endpoint-agent	De functionaliteit met de Defender for Endpoint-agent is rond april 2024 beschikbaar. - Functionaliteit met de Log Analytics-agent wordt in augustus 2024 afgeschaft. - Functionaliteit met AMA wordt afgeschaft wanneer de Integratie van Defender voor Eindpunt wordt uitgebracht.

Het voordeel van 500 MB voor gegevensopname via de gedefinieerde tabellen blijft ondersteund via de AMA-agent voor de computers onder abonnementen die vallen onder Defender for Servers Plan 2. Elke machine komt slechts eenmaal in aanmerking voor het voordeel, zelfs als zowel de Log Analytics-agent als de Azure Monitor-agent erop zijn geïnstalleerd. Meer informatie over het implementeren van AMA.

Voor SQL-servers op machines raden we u aan om te migreren naar het automatische inrichtingsproces van azure Monitoring Agent (AMA) van SQL Server.

Ervaring met aanbevelingen voor Endpoint Protection - wijzigingen en migratierichtlijnen

Eindpuntdetectie en -aanbevelingen worden momenteel geleverd door de Defender voor Cloud Foundational CSPM en de Defender for Servers-plannen met behulp van de Log Analytics-agent in algemene beschikbaarheid of in preview via de AMA. Deze ervaring wordt vervangen door beveiligingsaankopen die worden verzameld met behulp van machinescans zonder agent. 

Aanbevelingen voor Endpoint Protection worden in twee fasen samengesteld. De eerste fase is het ontdekken van een eindpuntdetectie en -respons oplossing. De tweede is de evaluatie van de configuratie van de oplossing. De volgende tabellen bevatten details van de huidige en nieuwe ervaringen voor elke fase.

Meer informatie over het beheren van de nieuwe eindpuntdetectie en -respons aanbevelingen (zonder agent).

Oplossing voor eindpuntdetectie en -respons - detectie

Gebied	Huidige ervaring (op basis van AMA/MMA)	Nieuwe ervaring (op basis van het scannen van machines zonder agent)
Wat is er nodig om een resource als in orde te classificeren?	Er is een antivirusprogramma aanwezig.	Er is een eindpuntdetectie en -respons oplossing aanwezig.
Wat is er nodig om de aanbeveling te krijgen?	Log Analytics-agent	Scannen van machines zonder agent
Welke abonnementen worden ondersteund?	- Foundational CSPM (gratis) - Defender for Servers Plan 1 en Plan 2	- Defender CSPM - Defender for Servers Plan 2
Welke oplossing is beschikbaar?	Installeer Microsoft antimalware.	Installeer Defender voor Eindpunt op geselecteerde machines/abonnementen.

Oplossing voor eindpuntdetectie en -respons - configuratie-evaluatie

Gebied	Huidige ervaring (op basis van AMA/MMA)	Nieuwe ervaring (op basis van het scannen van machines zonder agent)
Resources worden geclassificeerd als beschadigd als een of meer van de beveiligingscontroles niet in orde zijn.	Drie beveiligingscontroles: - Realtime-beveiliging is uitgeschakeld - Handtekeningen zijn verouderd. - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd.	Drie beveiligingscontroles: - Antivirus is uitgeschakeld of gedeeltelijk geconfigureerd - Handtekeningen zijn verouderd - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd.
Vereisten voor het ophalen van de aanbeveling	Er is een antimalwareoplossing aanwezig	Er is een eindpuntdetectie en -respons oplossing aanwezig.

Welke aanbevelingen worden afgeschaft?

De volgende tabel bevat een overzicht van het tijdschema voor de afgeschafte en vervangen aanbevelingen.

Aanbeveling	Agent	Ondersteunde resources	Datum van afschaffing	Vervangingsaanaanveling
Endpoint Protection moet worden geïnstalleerd op uw computers (openbaar)	MMA/AMA	Azure & niet-Azure (Windows en Linux)	Maart 2024	Nieuwe aanbeveling zonder agent
Statusproblemen met Endpoint Protection moeten worden opgelost op uw computers (openbaar)	MMA/AMA	Azure (Windows)	Maart 2024	Nieuwe aanbeveling zonder agent
Eindpuntbeveiligingsstatusfouten in virtuele-machineschaalsets moeten worden opgelost	MMA	Azure-schaalvergrotingssets voor virtuele machines	Augustus 2024	Geen vervanging
De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets	MMA	Azure-schaalvergrotingssets voor virtuele machines	Augustus 2024	Geen vervanging
Endpoint Protection-oplossing moet zich op computers bevinden	MMA	Niet-Azure-resources (Windows)	Augustus 2024	Geen vervanging
Oplossing voor eindpuntbeveiliging installeren op uw machines	MMA	Azure en niet-Azure (Windows)	Augustus 2024	Nieuwe aanbeveling zonder agent
Statusproblemen met Endpoint Protection op computers moeten worden opgelost	MMA	Azure en niet-Azure (Windows en Linux)	Augustus 2024	Nieuwe aanbeveling zonder agent.

De nieuwe aanbevelingen op basis van het scannen van machines zonder agent ondersteunen zowel Windows- als Linux-besturingssysteem op meerdere cloudcomputers.

Hoe werkt de vervanging?

Huidige aanbevelingen van de Log Analytics-agent of de AMA worden in de loop van de tijd afgeschaft.
Sommige van deze bestaande aanbevelingen worden vervangen door nieuwe aanbevelingen op basis van het scannen van machines zonder agent.
Aanbevelingen momenteel in algemene beschikbaarheid aanwezig blijven totdat de Log Analytics-agent buiten gebruik wordt gesteld.
Aanbevelingen die momenteel in preview zijn, worden vervangen wanneer de nieuwe aanbeveling beschikbaar is in preview.

Wat gebeurt er met een beveiligingsscore?

Aanbevelingen die zich momenteel in algemene beschikbaarheid bevinden, blijven van invloed op de beveiligingsscore. 
Huidige en toekomstige nieuwe aanbevelingen bevinden zich onder hetzelfde besturingselement voor Microsoft Cloud Security Benchmark, zodat er geen dubbele impact is op de beveiligingsscore.

Hoe kan ik voorbereiden op de nieuwe aanbevelingen?

Zorg ervoor dat scannen van machines zonder agent is ingeschakeld als onderdeel van Defender for Servers Plan 2 of Defender CSPM.
Als dit geschikt is voor uw omgeving, raden we u aan afgeschafte aanbevelingen te verwijderen wanneer de vervangende GA-aanbeveling beschikbaar komt. Hiervoor schakelt u de aanbeveling uit in het ingebouwde Defender voor Cloud-initiatief in Azure Policy.

Ervaring voor bewaking van bestandsintegriteit - wijzigingen en migratierichtlijnen

Microsoft Defender voor Servers Plan 2 biedt nu een nieuwe FIM-oplossing (File Integrity Monitoring), mogelijk gemaakt door Microsoft Defender voor Eindpunt (MDE)-integratie. Zodra FIM mogelijk gemaakt door MDE openbaar is, wordt de FIM mogelijk gemaakt door AMA in de Defender voor Cloud-portal. In oktober wordt FIM mogelijk gemaakt door MMA.

Migratie van FIM via AMA

Als u momenteel FIM via AMA gebruikt:

Onboarding van nieuwe abonnementen of servers naar FIM op basis van AMA en de extensie voor het bijhouden van wijzigingen, evenals het weergeven van wijzigingen, is vanaf 30 mei niet meer beschikbaar via de Defender voor Cloud-portal.
Als u FIM-gebeurtenissen wilt blijven gebruiken die door AMA zijn verzameld, kunt u handmatig verbinding maken met de relevante werkruimte en wijzigingen in de Wijzigingen bijhouden tabel weergeven met de volgende query:
```
ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType
```
Als u wilt doorgaan met onboarden van nieuwe bereiken of bewakingsregels wilt configureren, kunt u gegevens Verbinding maken ionregels handmatig gebruiken om verschillende aspecten van gegevensverzameling te configureren of aan te passen.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via AMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt bij de release.

FIM uitschakelen via AMA

Als u FIM via AMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.

U kunt ook de gerelateerde regels voor het bijhouden van wijzigingen bijhouden van gegevens (DCR) verwijderen. Zie Remove-AzDataCollectionRuleAssociation of Remove-AzDataCollectionRule voor meer informatie.

Nadat u de verzameling bestandsevenementen hebt uitgeschakeld met behulp van een van de bovenstaande methoden:

Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.

Migratie van FIM via Log Analytics Agent (MMA)

Als u momenteel FIM gebruikt via de Log Analytics Agent (MMA):

Bewaking van bestandsintegriteit op basis van MMA (Log Analytics Agent) wordt in oktober 2024 afgeschaft.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via MMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt na de release.

FIM uitschakelen via MMA

Als u FIM via MMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.

Nadat u de verzameling bestandsevenementen hebt uitgeschakeld:

Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.

Defender voorbereiden voor SQL op machines

Meer informatie over defender voor SQL Server vindt u in het afschaffingsplan van de Log Analytics-agent op computers.

Als u het huidige automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent gebruikt, moet u migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines die automatisch inrichten. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.

Migreren naar het automatische inrichtingsproces van AMA op de SQL-server gericht

Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer onder het plan Databases de optie Actie vereist.
Selecteer In het pop-upvenster Inschakelen.
Selecteer Opslaan.

Zodra het automatische inrichtingsproces van de SQL-server is ingeschakeld, moet u het automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent uitschakelen en de MMA verwijderen op alle SQL-servers:

De Log Analytics-agent uitschakelen:

Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer Instellingen onder het databaseplan.
Schakel de Log Analytics-agent in op Uit.
Selecteer Doorgaan.
Selecteer Opslaan.

Migratieplanning

We raden u aan om agentmigratie te plannen in overeenstemming met uw bedrijfsvereisten. De tabel bevat een overzicht van onze richtlijnen.

Gebruikt u Defender for Servers?	Zijn deze Defender for Servers-functies vereist in ga: bewaking van bestandsintegriteit, aanbevelingen voor eindpuntbeveiliging, aanbevelingen voor beveiligingsbasislijn?	Gebruikt u Defender voor SQL-servers op computers of AMA-logboekverzameling?	Migratieplan
Ja	Ja	Nr.	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. Wacht op algemene beschikbaarheid van alle functies met het platform van het alternatief (u kunt de preview-versie eerder gebruiken). 3. Zodra functies algemeen beschikbaar zijn, schakelt u de Log Analytics-agent uit.
Nee	---	Nr.	U kunt de Log Analytics-agent nu verwijderen.
Nr.	---	Ja	1. U kunt nu migreren naar automatische inrichting van SQL voor AMA . 2. Schakel Log Analytics/Azure Monitor Agent uit.
Ja	Ja	Ja	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt de Log Analytics-agent en AMA naast elkaar gebruiken om alle functies in algemene beschikbaarheid op te halen. Meer informatie over het naast elkaar uitvoeren van agents. 3. Migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. U kunt ook de migratie van de Log Analytics-agent naar AMA in april 2024 starten. 4. Zodra de migratie is voltooid, schakelt u de Log Analytics-agent uit .
Ja	No	Ja	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt nu migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. 3. Schakel de Log Analytics-agent uit.

Volgende stap

Geplande wijzigingen in het Defender voor Cloud-plan en -strategie voor de afschaffing van de Log Analytics-agent