Delen via

AMA-migratie voor Microsoft Sentinel

  • Artikel

In dit artikel wordt het migratieproces naar de Azure Monitor-agent (AMA) beschreven wanneer u een bestaande, verouderde Log Analytics-agent (MMA/OMS) hebt en werkt met Microsoft Sentinel.

De Log Analytics-agent wordt vanaf 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, wordt u aangeraden te migreren naar de AMA.

Vereisten

  • Begin met de Documentatie van Azure Monitor, die een vergelijking van agents en algemene informatie biedt voor dit migratieproces. Dit artikel bevat specifieke details en verschillen voor Microsoft Sentinel.

Migreren naar de Azure Monitor-agent

Elke organisatie heeft verschillende metrische gegevens over succes en interne migratieprocessen. In deze sectie vindt u voorgestelde richtlijnen voor het migreren van de Log Analytics MMA/OMS-agent naar de AMA, met name voor Microsoft Sentinel.

Neem de volgende stappen op in uw migratieproces:

  1. Zorg ervoor dat u de vereiste vereisten en andere overwegingen hebt gecontroleerd, zoals beschreven in de Documentatie van Azure Monitor. Zie Voordat u begint voor meer informatie.

  2. Voer een proof-of-concept uit om te testen hoe de AMA gegevens verzendt naar Microsoft Sentinel, idealiter in een ontwikkel- of sandboxomgeving.

    1. Installeer in Microsoft Sentinel de Windows-beveiliging Events Microsoft Sentinel-oplossing. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

    2. Als u uw Windows-machines wilt verbinden met de Windows-beveiliging Gebeurtenisconnector, begint u met de pagina Windows-beveiliging Gebeurtenissen via de AMA-gegevensconnectorpagina in Microsoft Sentinel. Zie Windows-verbindingen op basis van agents voor meer informatie.

    3. Ga door met de pagina Beveiligingsevenementen via de verouderde agentgegevensconnectorpagina . Selecteer Op het tabblad Instructies, onder Configuratiestap>2>, welke gebeurtenissen moeten worden gestreamd, de optie Geen. Hiermee configureert u uw systeem zodat u geen beveiligingsevenementen ontvangt via de MMA/OMS, maar andere gegevensbronnen die afhankelijk zijn van deze agent, blijven werken. Deze stap is van invloed op alle computers die rapporteren aan uw huidige Log Analytics-werkruimte.

    Belangrijk

    Het opnemen van gegevens uit dezelfde bron met behulp van twee verschillende typen agents leidt tot dubbele opnamekosten en dubbele gebeurtenissen in de Microsoft Sentinel-werkruimte.

    Als u beide gegevensconnectors tegelijkertijd wilt laten werken, raden we u aan dit alleen te doen voor een beperkte tijd voor een benchmarking of testvergelijkingsactiviteit, in het ideale voorbeeld in een afzonderlijke testwerkruimte.

  3. Meet het succes van uw concept.

    Voor hulp bij deze stap gebruikt u de werkmap AMA-migratietracker , waarin de servers worden weergegeven die aan uw werkruimten rapporteren en of de verouderde MMA, de AMA of beide agents zijn geïnstalleerd. U kunt deze werkmap ook gebruiken om de DCR's weer te geven die gebeurtenissen verzamelen van uw computers en welke gebeurtenissen ze verzamelen.

    Zorg ervoor dat u uw abonnement en resourcegroep bovenaan de werkmap selecteert om gegevens voor uw omgeving weer te geven. Voorbeeld:

    Schermopname van de AMA-migratietrackerwerkmap.

    Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel voor meer informatie.

    Succescriteria moeten een statistische analyse en vergelijking bevatten van de kwantitatieve gegevens die zijn opgenomen door de MMA/OMS- en AMA-agents op dezelfde host:

    • Meet uw succes gedurende een vooraf gedefinieerde periode die een normale werkbelasting voor uw omgeving vertegenwoordigt.

    • Zorg er tijdens het testen voor dat u elke nieuwe functie test die wordt geleverd door de AMA, zoals Linux multihoming, Windows-gebeurtenisfiltering, enzovoort.

    • Plan uw implementatie voor AMA-agents in uw productieomgeving op basis van het risicoprofiel en de wijzigingsprocessen van uw organisatie.

  4. Rol de nieuwe agent uit in uw productieomgeving en voer een laatste test uit van de AMA-functionaliteit.

  5. Verbreek alle gegevensconnectors die afhankelijk zijn van de verouderde connector, zoals beveiligingsevenementen met MMA. Laat de nieuwe connector, zoals Windows-beveiliging Gebeurtenissen met AMA, actief.

    Hoewel u zowel de verouderde MMA/OMS- als de AMA-agents parallel kunt laten uitvoeren, kunt u dubbele kosten en gegevens voorkomen door ervoor te zorgen dat elke gegevensbron slechts één agent gebruikt om gegevens naar Microsoft Sentinel te verzenden.

  6. Controleer uw Microsoft Sentinel-werkruimte om ervoor te zorgen dat al uw gegevensstromen zijn vervangen met behulp van de nieuwe op AMA gebaseerde connectors.

  7. Verwijder de verouderde agent. Zie De Azure Log Analytics-agent beheren voor meer informatie.

Voor uw productie-implementatie raden we u aan de AMA voor elke gegevensbron te configureren. Raadpleeg de relevante veelgestelde vragen in de Documentatie van Azure Monitor om eventuele problemen voor duplicatie op te lossen.

Gerelateerde inhoud

Zie voor meer informatie: