Migracja usługi AMA dla usługi Microsoft Sentinel
W tym artykule opisano proces migracji do agenta usługi Azure Monitor (AMA), gdy masz istniejącego agenta usługi Log Analytics (MMA/OMS) i pracujesz z usługą Microsoft Sentinel.
Ważne
Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA.
Wymagania wstępne
Zacznij od dokumentacji usługi Azure Monitor, która zawiera porównanie agentów i ogólne informacje dotyczące tego procesu migracji.
Ten artykuł zawiera szczegółowe informacje i różnice dotyczące usługi Microsoft Sentinel.
Analiza luk między agentami
W poniższych tabelach przedstawiono analizy luk dla typów dzienników, które obecnie korzystają z zbierania danych opartych na agencie dla usługi Microsoft Sentinel. Zostanie to zaktualizowane w miarę wzrostu obsługi usługi AMA w kierunku parzystości z agentem usługi Log Analytics.
Dzienniki systemu Windows
| Typ dziennika/obsługa techniczna | Obsługa agenta usługi Azure Monitor | Obsługa agenta usługi Log Analytics |
|---|---|---|
| Zdarzenia zabezpieczeń | łącznik danych zdarzeń Zabezpieczenia Windows | łącznik danych zdarzeń Zabezpieczenia Windows (starsza wersja) |
| Filtrowanie według identyfikatora zdarzenia zabezpieczeń | łącznik danych zdarzeń Zabezpieczenia Windows (AMA) | - |
| Filtrowanie według identyfikatora zdarzenia | Tylko kolekcja | - |
| Przekazywanie zdarzeń systemu Windows | Zdarzenia przekazywane w systemie Windows | - |
| Dzienniki zapory systemu Windows | - | Łącznik danych Zapory systemu Windows |
| Liczniki wydajności | Tylko kolekcja | Tylko kolekcja |
| Dzienniki zdarzeń systemu Windows (system) | Tylko kolekcja | Tylko kolekcja |
| Dzienniki niestandardowe (tekst) | Tylko kolekcja | Tylko kolekcja |
| Dzienniki usług IIS | Tylko kolekcja | Tylko kolekcja |
| Multi-homing | Tylko kolekcja | Tylko kolekcja |
| Dzienniki aplikacji i usługi | Tylko kolekcja | Tylko kolekcja |
| Sysmon | Tylko kolekcja | Tylko kolekcja |
| Dzienniki DNS | Serwery DNS systemu Windows za pośrednictwem łącznika USŁUGI AMA (publiczna wersja zapoznawcza) | Łącznik systemu Windows DNS Server (publiczna wersja zapoznawcza) |
Ważne
Agent usługi Azure Monitor zapewnia przepływność, która jest o 25% lepsza niż starsi agenci usługi Log Analytics. Przeprowadź migrację do nowych łączników usługi AMA, aby uzyskać większą wydajność, zwłaszcza jeśli używasz serwerów jako usług przesyłania dalej dzienników dla zdarzeń zabezpieczeń systemu Windows lub zdarzeń przekazywanych dalej.
Dzienniki systemu Linux
| Typ dziennika/obsługa techniczna | Obsługa agenta usługi Azure Monitor | Obsługa agenta usługi Log Analytics |
|---|---|---|
| Syslog | Tylko kolekcja | Łącznik danych dziennika systemowego |
| Common Event Format (CEF) | CEF za pośrednictwem łącznika danych usługi AMA | Łącznik danych CEF |
| Sysmon | Tylko kolekcja | Tylko kolekcja |
| Dzienniki niestandardowe (tekst) | Tylko kolekcja | Tylko kolekcja |
| Multi-homing | Tylko kolekcja | - |
Zalecany plan migracji
Każda organizacja będzie miała różne metryki dotyczące powodzenia i wewnętrznych procesów migracji. Ta sekcja zawiera sugerowane wskazówki, które należy wziąć pod uwagę podczas migracji z agenta MMA/OMS usługi Log Analytics do usługi AMA, szczególnie w przypadku usługi Microsoft Sentinel.
W procesie migracji uwzględnij następujące kroki:
Upewnij się, że zapoznano się z wymaganymi wymaganiami wstępnymi i innymi zagadnieniami, jak opisano tutaj w dokumentacji usługi Azure Monitor.
Uruchom weryfikację koncepcji, aby sprawdzić, jak usługa AMA wysyła dane do usługi Microsoft Sentinel, najlepiej w środowisku projektowym lub piaskownicy.
Aby połączyć maszyny z systemem Windows z łącznikiem zdarzeń Zabezpieczenia Windows, zacznij od Zabezpieczenia Windows Zdarzenia za pośrednictwem strony łącznika danych usługi AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Połączenia oparte na agencie systemu Windows.
Przejdź do strony Zdarzenia zabezpieczeń za pośrednictwem łącznika danych starszego agenta . Na karcie Instrukcje w obszarze Konfiguracja> Krok 2 wybierz zdarzenia do przesyłania strumieniowego, wybierz pozycję Brak. Spowoduje to skonfigurowanie systemu tak, aby nie otrzymywać żadnych zdarzeń zabezpieczeń za pośrednictwem programu MMA/OMS, ale inne źródła danych oparte na tym agencie będą nadal działać. Ten krok ma wpływ na wszystkie maszyny raportujące bieżący obszar roboczy usługi Log Analytics.
Ważne
Pozyskiwanie danych z tego samego źródła przy użyciu dwóch różnych typów agentów spowoduje podwójne opłaty za pozyskiwanie i zduplikowane zdarzenia w obszarze roboczym usługi Microsoft Sentinel.
Jeśli chcesz zachować jednocześnie uruchomione oba łączniki danych, zalecamy wykonanie tej czynności tylko przez ograniczony czas dla testu porównawczego lub działania porównania testów, najlepiej w osobnym obszarze roboczym testowym.
Zmierz powodzenie weryfikacji koncepcji.
Aby uzyskać pomoc dotyczącą tego kroku, użyj skoroszytu monitora migracji usługi AMA, który wyświetla serwery raportowania do obszarów roboczych oraz czy mają zainstalowane starsze programy MMA, AMA lub obaj agenci. Możesz również użyć tego skoroszytu, aby wyświetlić kontrolery domeny zbierające zdarzenia z maszyn oraz zdarzenia, które zbierają.
Na przykład:
Kryteria sukcesu powinny obejmować analizę statystyczną i porównanie danych ilościowych pozyskanych przez agentów MMA/OMS i AMA na tym samym hoście:
Zmierz powodzenie w wstępnie zdefiniowanym okresie, który reprezentuje normalne obciążenie dla danego środowiska.
Podczas testowania należy przetestować każdą nową funkcję udostępnioną przez usługę AMA, taką jak multi-homing systemu Linux, filtrowanie zdarzeń systemu Windows itd.
Zaplanuj wdrożenie agentów usługi AMA w środowisku produkcyjnym zgodnie z profilem ryzyka organizacji i procesami zmiany.
Wdaj nowego agenta w środowisku produkcyjnym i uruchom końcowy test funkcjonalności usługi AMA.
Odłącz wszystkie łączniki danych, które korzystają ze starszego łącznika, takie jak zdarzenia zabezpieczeń z mma. Pozostaw nowy łącznik, taki jak zdarzenia Zabezpieczenia Windows z usługą AMA, uruchomiony.
Mimo że starsze agenty MMA/OMS i AMA działają równolegle, zapobiegaj zduplikowaniu kosztów i danych, upewniając się, że każde źródło danych używa tylko jednego agenta do wysyłania danych do usługi Microsoft Sentinel.
Sprawdź obszar roboczy usługi Microsoft Sentinel, aby upewnić się, że wszystkie strumienie danych zostały zastąpione przy użyciu nowych łączników opartych na usłudze AMA.
Odinstaluj starszego agenta. Aby uzyskać więcej informacji, zobacz Zarządzanie agentem usługi Azure Log Analytics.
Często zadawane pytania
Poniższe często zadawane pytania dotyczą problemów specyficznych dla migracji usługi AMA z usługą Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz również często zadawane pytania dotyczące migracji usługi AMA i często zadawane pytania dotyczące agenta usługi Azure Monitor w dokumentacji usługi Azure Monitor.
Co się stanie, jeśli równolegle uruchomię program MMA/pakiet OMS i usługę AMA we wdrożeniu usługi Microsoft Sentinel?
Zarówno agenci AMA, jak i MMA/OMS mogą współistnieć na tym samym komputerze. W przypadku wysyłania danych z tego samego źródła danych do obszaru roboczego usługi Microsoft Sentinel w tym samym czasie wystąpią z jednego hosta zduplikowane zdarzenia i podwójne opłaty za pozyskiwanie.
W przypadku wdrożenia produkcyjnego zalecamy skonfigurowanie agenta MMA/OMS lub usługi AMA dla każdego źródła danych. Aby rozwiązać wszelkie problemy dotyczące duplikowania, zapoznaj się z odpowiednimi często zadawanymi pytaniami w dokumentacji usługi Azure Monitor.
Usługa AMA nie ma jeszcze funkcji, których wdrożenie usługi Microsoft Sentinel musi działać. Czy mam jeszcze przeprowadzić migrację?
Starszy agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r.
Zalecamy aktualizowanie nowych funkcji udostępnianych przez usługę AMA wraz z upływem czasu, ponieważ zbliża się ona do parzystości z MMA/OMS. Chcesz przeprowadzić migrację zaraz po uruchomieniu wdrożenia usługi Microsoft Sentinel w usłudze AMA.
Chociaż program MMA i AMA można uruchomić jednocześnie, możesz przeprowadzić migrację każdego łącznika pojedynczo podczas uruchamiania obu agentów.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Często zadawane pytania dotyczące migracji usługi AMA
- Omówienie agentów usługi Azure Monitor
- Migrowanie z agentów usługi Log Analytics
- Zabezpieczenia Windows zdarzenia za pośrednictwem usługi AMA
- Zdarzenia zabezpieczeń za pośrednictwem starszego agenta (Windows)
- Połączenia oparte na agencie systemu Windows