Przygotowanie do wycofania agenta usługi Log Analytics
Agent usługi Log Analytics, znany również jako Microsoft Monitoring Agent (MMA), zostaje wycofany w sierpniu 2024 r. W związku z tym plany usługi Defender for Servers i Defender for SQL na maszynach w Microsoft Defender dla Chmury zostaną zaktualizowane, a funkcje, które opierają się na agencie usługi Log Analytics, zostaną przeprojektowane.
Ten artykuł zawiera podsumowanie planów wycofania agenta.
Przygotowywanie usługi Defender dla serwerów
Plan usługi Defender for Servers używa agenta usługi Log Analytics w ogólnej dostępności i w usłudze AMA dla niektórych funkcji (w wersji zapoznawczej). Oto, co dzieje się z tymi funkcjami w przyszłości:
Aby uprościć dołączanie, wszystkie funkcje zabezpieczeń i możliwości usługi Defender for Servers będą dostarczane z jednym agentem (Ochrona punktu końcowego w usłudze Microsoft Defender), uzupełnionym skanowaniem maszyn bez agenta bez zależności od agenta usługi Log Analytics lub usługi AMA. Pamiętaj, że:
- Funkcje usługi Defender for Servers, które są oparte na usłudze AMA, są obecnie dostępne w wersji zapoznawczej i nie zostaną wydane w ogólnie dostępnej wersji.
- Funkcje w wersji zapoznawczej, które korzystają z usługi AMA, pozostaną obsługiwane do momentu podania alternatywnej wersji funkcji, która będzie polegać na integracji usługi Defender for Endpoint lub funkcji skanowania maszyn bez agenta.
- Po włączeniu integracji z usługą Defender for Endpoint i funkcji skanowania bez agenta przed zakończeniem wycofywania wdrożenie usługi Defender for Servers będzie aktualne i obsługiwane.
Funkcje funkcji
Poniższa tabela zawiera podsumowanie sposobu zapewniania funkcji usługi Defender for Servers. Większość funkcji jest już ogólnie dostępna przy użyciu integracji z usługą Defender for Endpoint lub skanowania maszyn bez agenta. Pozostałe funkcje będą dostępne w wersji ogólnodostępnej do czasu wycofania mma lub zostaną wycofane.
| Funkcja | Bieżąca obsługa | Nowa obsługa | Stan nowego środowiska |
|---|---|---|---|
| Integracja usługi Defender for Endpoint dla komputerów z systemem Windows na poziomie dół (Windows Server 2016/2012 R2) | Starszy czujnik usługi Defender for Endpoint oparty na agencie usługi Log Analytics | Integracja z ujednoliconym agentem | — Funkcjonalność ujednoliconego agenta to ogólna dostępność. — Funkcje ze starszym czujnikiem usługi Defender for Endpoint używającym agenta usługi Log Analytics zostaną wycofane w sierpniu 2024 r. |
| Wykrywanie zagrożeń na poziomie systemu operacyjnego | Agent Log Analytics | Integracja agenta usługi Defender for Endpoint | Funkcjonalność agenta usługi Defender for Endpoint to ogólna dostępność. |
| Funkcje adaptacyjnego sterowania aplikacjami | Agent usługi Log Analytics (GA), AMA (wersja zapoznawcza) | --- | Funkcja adaptacyjnego sterowania aplikacjami jest ustawiona na przestarzałą w sierpniu 2024 r. |
| Zalecenia dotyczące odnajdywania programu Endpoint Protection | Rekomendacje, które są dostępne za pośrednictwem podstawowego planu zarządzania stanem zabezpieczeń w chmurze (CSPM) i usługi Defender dla serwerów, przy użyciu agenta usługi Log Analytics (GA), AMA (wersja zapoznawcza) | Skanowanie maszyn bez agenta | — Funkcje skanowania maszyn bez agenta zostaną wydane w wersji zapoznawczej w lutym 2024 r. w ramach planu 2 usługi Defender for Servers i planu CSPM w usłudze Defender. — Maszyny wirtualne platformy Azure, wystąpienia platformy Google Cloud Platform (GCP) i wystąpienia usług Amazon Web Services (AWS) będą obsługiwane. Maszyny lokalne nie będą obsługiwane. |
| Brak rekomendacji dotyczącej aktualizacji systemu operacyjnego | Rekomendacje dostępne w planach Foundational CSPM i Defender for Servers przy użyciu agenta usługi Log Analytics. | Integracja z programem Update Manager, microsoft | Nowe zalecenia oparte na integracji z usługą Azure Update Manager są ogólnie dostępne, bez zależności agenta. |
| Błędy konfiguracji systemu operacyjnego (test porównawczy zabezpieczeń w chmurze firmy Microsoft) | Rekomendacje, które są dostępne za pośrednictwem podstawowych planów CSPM i Defender for Servers przy użyciu agenta usługi Log Analytics, agenta konfiguracji gościa (wersja zapoznawcza). | Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender premium w ramach planu 2 usługi Defender for Servers. | — Funkcje oparte na integracji z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Premium będą dostępne w wersji zapoznawczej około kwietnia 2024 r. — Funkcje agenta usługi Log Analytics zostaną wycofane w sierpniu 2024 r. — Funkcja agenta konfiguracji gościa (wersja zapoznawcza) zostanie wycofana, gdy Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest dostępna. — Obsługa tej funkcji dla usług Docker-Hub i Azure Virtual Machine Scale Sets zostanie wycofana w sierpniu 2024 r. |
| Monitorowanie integralności plików | Agent usługi Log Analytics, AMA (wersja zapoznawcza) | Integracja agenta usługi Defender for Endpoint | Funkcje agenta usługi Defender for Endpoint będą dostępne około kwietnia 2024 r. — Funkcje agenta usługi Log Analytics zostaną wycofane w sierpniu 2024 r. — Funkcje z usługą AMA zostaną wycofane po wydaniu integracji z usługą Defender for Endpoint. |
500 MB korzyści pozyskiwania danych w zdefiniowanych tabelach pozostaje obsługiwane za pośrednictwem agenta usługi AMA dla maszyn w ramach subskrypcji objętych planem 2 usługi Defender for Servers. Każda maszyna kwalifikuje się do korzyści tylko raz, nawet jeśli na nim jest zainstalowany zarówno agent usługi Log Analytics, jak i agent usługi Azure Monitor. Dowiedz się więcej o sposobie wdrażania usługi AMA.
W przypadku serwerów SQL na maszynach zalecamy przeprowadzenie migracji do procesu automatycznego aprowizowania agenta monitorowania platformy Azure (AMA) przeznaczonego dla programu SQL Server.
Środowisko zaleceń dotyczących ochrony punktu końcowego
Odnajdywanie i zalecenia dotyczące punktów końcowych są obecnie udostępniane przez program Defender dla Chmury Foundational CSPM i plany usługi Defender for Servers przy użyciu agenta usługi Log Analytics w wersji ogólnodostępnej lub w wersji zapoznawczej za pośrednictwem usługi AMA. To środowisko zostanie zastąpione zaleceniami dotyczącymi zabezpieczeń zbieranymi przy użyciu skanowania maszyn bez agenta.
Zalecenia dotyczące ochrony punktu końcowego są tworzone na dwóch etapach. Pierwszym etapem jest odnajdywanie rozwiązania wykrywanie i reagowanie w punktach końcowych. Drugi to ocena konfiguracji rozwiązania. Poniższe tabele zawierają szczegółowe informacje o bieżących i nowych środowiskach dla każdego etapu.
Dowiedz się, jak zarządzać nowymi zaleceniami wykrywanie i reagowanie w punktach końcowych (bez agentów).
Rozwiązanie do wykrywania i reagowania na punkty końcowe — odnajdywanie
| Obszar | Bieżące środowisko (na podstawie ama/MMA) | Nowe środowisko (na podstawie skanowania maszyn bez agenta) |
|---|---|---|
| Co jest potrzebne do sklasyfikowania zasobu jako dobrej kondycji? | Oprogramowanie antywirusowe jest w miejscu. | Istnieje wykrywanie i reagowanie w punktach końcowych rozwiązanie. |
| Co jest potrzebne, aby uzyskać zalecenie? | Agent Log Analytics | Skanowanie maszyn bez agenta |
| Jakie plany są obsługiwane? | - Foundational CSPM (bezpłatny) — Defender for Servers Plan 1 i Plan 2 |
- CSPM w usłudze Defender — Defender for Servers (Plan 2) |
| Jaka poprawka jest dostępna? | Zainstaluj oprogramowanie chroniące przed złośliwym oprogramowaniem firmy Microsoft. | Zainstaluj usługę Defender dla punktu końcowego na wybranych maszynach/subskrypcjach. |
Rozwiązanie do wykrywania i reagowania na punkty końcowe — ocena konfiguracji
| Obszar | Bieżące środowisko (na podstawie ama/MMA) | Nowe środowisko (na podstawie skanowania maszyn bez agenta) |
|---|---|---|
| Zasoby są klasyfikowane jako w złej kondycji, jeśli co najmniej jedna kontrola zabezpieczeń nie jest w dobrej kondycji. | Trzy kontrole zabezpieczeń: — Ochrona w czasie rzeczywistym jest wyłączona - Podpisy są nieaktualne. - Zarówno szybkie skanowanie, jak i pełne skanowanie nie są uruchamiane przez siedem dni. |
Trzy kontrole zabezpieczeń: - Oprogramowanie antywirusowe jest wyłączone lub częściowo skonfigurowane — Podpisy są nieaktualne - Zarówno szybkie skanowanie, jak i pełne skanowanie nie są uruchamiane przez siedem dni. |
| Wymagania wstępne dotyczące uzyskiwania rekomendacji | Rozwiązanie chroniące przed złośliwym oprogramowaniem | Rozwiązanie wykrywanie i reagowanie w punktach końcowych. |
Które zalecenia są przestarzałe?
Poniższa tabela zawiera podsumowanie harmonogramu przestarzałego i zastępowania zaleceń.
Nowe środowisko zaleceń oparte na skanowaniu maszyn bez agenta obsługuje zarówno system operacyjny Windows, jak i Linux na maszynach z wieloma chmurami.
Jak będzie działać wymiana?
- Bieżące zalecenia dostarczone przez agenta usługi Log Analytics lub ama zostaną wycofane z upływem czasu.
- Niektóre z tych istniejących zaleceń zostaną zastąpione nowymi zaleceniami na podstawie skanowania maszyn bez agenta.
- Rekomendacje obecnie w ogólnie dostępnej wersji pozostają na miejscu do czasu wycofania agenta usługi Log Analytics.
- Rekomendacje, które są obecnie dostępne w wersji zapoznawczej, zostaną zastąpione, gdy nowe zalecenie będzie dostępne w wersji zapoznawczej.
Co się dzieje z oceną bezpieczeństwa?
- Rekomendacje, które są obecnie w ogólnie dostępnej wersji, będą nadal wpływać na wskaźnik bezpieczeństwa.
- Bieżące i nadchodzące nowe zalecenia znajdują się w ramach tej samej kontroli testu porównawczego zabezpieczeń w chmurze firmy Microsoft, co zapewnia brak zduplikowanego wpływu na wskaźnik bezpieczeństwa.
Jak mogę przygotować się do nowych zaleceń?
- Upewnij się, że skanowanie maszyn bez agenta jest włączone w ramach planu 2 lub CSPM w usłudze Defender usługi Defender for Servers.
- Jeśli jest to odpowiednie dla danego środowiska, zalecamy usunięcie przestarzałych rekomendacji, gdy rekomendacja zastępcza ogólna dostępność stanie się dostępna. W tym celu wyłącz zalecenie we wbudowanej inicjatywie Defender dla Chmury w usłudze Azure Policy.
Przygotowywanie usługi Defender dla usługi SQL na maszynach
Aby dowiedzieć się więcej na temat planu wycofania agenta usługi Log Analytics w usłudze Defender dla programu SQL Server, możesz dowiedzieć się więcej.
Jeśli używasz bieżącego procesu automatycznej aprowizacji agenta usługi Log Analytics/agenta usługi Azure Monitor, należy przeprowadzić migrację do nowego agenta monitorowania platformy Azure dla programu SQL Server na maszynach, w którym jest automatycznie aprowizowanie maszyn. Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Migrowanie do docelowego procesu automatycznej aprowizacji usługi AMA w programie SQL Server
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
W obszarze Plan bazy danych wybierz pozycję Wymagana akcja.
W oknie podręcznym wybierz pozycję Włącz.
Wybierz pozycję Zapisz.
Po włączeniu procesu automatycznej aprowizacji usługi AMA przeznaczonego dla programu SQL Server należy wyłączyć proces automatycznej aprowizacji agenta usługi Log Analytics/agenta usługi Azure Monitor i odinstalować program MMA na wszystkich serwerach SQL:
Aby wyłączyć agenta usługi Log Analytics:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
W obszarze Plan bazy danych wybierz pozycję Ustawienia.
Przełącz agenta usługi Log Analytics na wyłączone.
Wybierz Kontynuuj.
Wybierz pozycję Zapisz.
Planowanie migracji
Zalecamy zaplanowanie migracji agenta zgodnie z wymaganiami biznesowymi. Tabela zawiera podsumowanie naszych wskazówek.
| Czy używasz usługi Defender for Servers? | Czy te funkcje usługi Defender for Servers są wymagane w ogólnie dostępnej wersji: monitorowanie integralności plików, zalecenia dotyczące ochrony punktu końcowego, zalecenia dotyczące punktu odniesienia zabezpieczeń? | Czy używasz usługi Defender dla serwerów SQL na maszynach lub w zbieraniu dzienników usługi AMA? | Plan migracji |
|---|---|---|---|
| Tak | Tak | Nie. | 1. Włącz integrację z usługą Defender dla punktu końcowego i skanowanie maszyn bez agenta. 2. Zaczekaj na dostępność wszystkich funkcji za pomocą alternatywnej platformy (możesz użyć wersji zapoznawczej wcześniej). 3. Po udostępnieniu funkcji wyłącz agenta usługi Log Analytics. |
| Nie | --- | Nie. | Teraz możesz usunąć agenta usługi Log Analytics. |
| Nie. | --- | Tak | 1. Teraz możesz przeprowadzić migrację do automatycznego aprowizowania bazy danych SQL dla usługi AMA . 2. Wyłącz usługę Log Analytics/agenta usługi Azure Monitor. |
| Tak | Tak | Tak | 1. Włącz integrację z usługą Defender dla punktu końcowego i skanowanie maszyn bez agenta. 2. Możesz użyć agenta usługi Log Analytics i usługi AMA obok siebie, aby uzyskać wszystkie funkcje w ogólnie dostępnej wersji. Dowiedz się więcej o uruchamianiu agentów obok siebie. 3. Migrowanie do automatycznego aprowizowania bazy danych SQL dla usługi AMA w usłudze Defender for SQL na maszynach. Alternatywnie rozpocznij migrację z agenta usługi Log Analytics do usługi AMA w kwietniu 2024 r. 4. Po zakończeniu migracji wyłącz agenta usługi Log Analytics. |
| Tak | Nie | Tak | 1. Włącz integrację z usługą Defender dla punktu końcowego i skanowanie maszyn bez agenta. 2. Możesz przeprowadzić migrację do automatycznego aprowizowania bazy danych SQL dla usługi AMA w usłudze Defender for SQL na maszynach. 3. Wyłącz agenta usługi Log Analytics. |