Migracja ama dla Microsoft Sentinel

W tym artykule opisano proces migracji do agenta Azure Monitor (AMA), gdy masz istniejącego, starszego agenta usługi Log Analytics (MMA/OMS) i pracujesz z Microsoft Sentinel.

Agent usługi Log Analytics został wycofany z dniem 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu Microsoft Sentinel, zalecamy przeprowadzenie migracji do usługi AMA.

Wymagania wstępne

  • Zacznij od dokumentacji Azure Monitor, która zawiera porównanie agentów i ogólne informacje dotyczące tego procesu migracji. Ten artykuł zawiera szczegółowe informacje i różnice dotyczące Microsoft Sentinel.

Migrowanie do agenta monitora Azure

Każda organizacja będzie mieć różne metryki powodzenia i wewnętrznych procesów migracji. Ta sekcja zawiera sugerowane wskazówki, które należy wziąć pod uwagę podczas migracji z agenta MMA/OMS usługi Log Analytics do usługi AMA, specjalnie dla Microsoft Sentinel.

Uwzględnij następujące kroki w procesie migracji:

  1. Upewnij się, że zostały sprawdzone niezbędne wymagania wstępne i inne zagadnienia opisane w dokumentacji usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Przed rozpoczęciem.

  2. Uruchom dowód koncepcji, aby sprawdzić, w jaki sposób ama wysyła dane do Microsoft Sentinel, najlepiej w środowisku deweloperskim lub piaskownicy.

    1. W Microsoft Sentinel zainstaluj rozwiązanie Microsoft Sentinel zdarzeń Zabezpieczenia Windows. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.

    2. Aby połączyć maszyny z systemem Windows z łącznikiem zdarzeń Zabezpieczenia Windows, rozpocznij od strony Zabezpieczenia Windows Events via AMA data connector (Zdarzenia Zabezpieczenia Windows za pośrednictwem łącznika danych ama w Microsoft Sentinel). Aby uzyskać więcej informacji, zobacz Połączenia oparte na agentach systemu Windows.

    3. Przejdź do strony Zdarzenia zabezpieczeń za pośrednictwem strony łącznika danych starszego agenta . Na karcie Instrukcje w obszarze Konfiguracja>Krok 2>Wybierz zdarzenia, które mają być przesyłane strumieniowo, wybierz pozycję Brak. Spowoduje to skonfigurowanie systemu tak, aby nie otrzymywać żadnych zdarzeń zabezpieczeń za pośrednictwem programu MMA/OMS, ale inne źródła danych korzystające z tego agenta będą nadal działać. Ten krok ma wpływ na wszystkie maszyny raportujące do bieżącego obszaru roboczego usługi Log Analytics.

    Ważna

    Pozyskiwanie danych z tego samego źródła przy użyciu dwóch różnych typów agentów spowoduje podwójne opłaty za pozyskiwanie i zduplikowane zdarzenia w obszarze roboczym Microsoft Sentinel.

    Jeśli chcesz, aby oba łączniki danych działały jednocześnie, zalecamy wykonanie tej czynności tylko przez ograniczony czas w celu wykonania testu porównawczego lub porównania testów, najlepiej w oddzielnym obszarze roboczym testów.

  3. Zmierz powodzenie weryfikacji koncepcji.

    Aby pomóc w tym kroku, użyj skoroszytu śledzenia migracji ama , w którym są wyświetlane serwery raportujące do obszarów roboczych oraz czy mają zainstalowane starsze mma, ama lub obu agentów. Ten skoroszyt umożliwia również wyświetlanie kontrolerów DOMENY zbierających zdarzenia z maszyn oraz zdarzeń, które są zbierane.

    Pamiętaj, aby wybrać subskrypcję i grupę zasobów w górnej części skoroszytu, aby wyświetlić dane dla środowiska. Przykład:

    Zrzut ekranu przedstawiający skoroszyt śledzenia migracji ama.

    Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w Microsoft Sentinel.

    Kryteria powodzenia powinny obejmować analizę statystyczną i porównanie danych ilościowych pozyskanych przez agentów MMA/OMS i AMA na tym samym hoście:

    • Zmierz swój sukces w wstępnie zdefiniowanym okresie, który reprezentuje normalne obciążenie środowiska.

    • Podczas testowania należy przetestować każdą nową funkcję dostarczaną przez usługę AMA, taką jak Linux multi-homing, filtrowanie zdarzeń systemu Windows itd.

    • Zaplanuj wdrożenie agentów ama w środowisku produkcyjnym zgodnie z profilem ryzyka organizacji i procesami zmian.

  4. Wprowadź nowego agenta w środowisku produkcyjnym i uruchom końcowy test funkcjonalności ama.

  5. Odłącz wszystkie łączniki danych, które korzystają ze starszego łącznika, na przykład zdarzenia zabezpieczeń z programem MMA. Pozostaw nowy łącznik, taki jak Zabezpieczenia Windows zdarzenia z usługą AMA, uruchomiony.

    Chociaż możesz mieć równolegle uruchomione zarówno starsze agenty MMA/OMS, jak i agentów AMA, zapobiegaj duplikowaniu kosztów i danych, upewniając się, że każde źródło danych używa tylko jednego agenta do wysyłania danych do Microsoft Sentinel.

  6. Sprawdź obszar roboczy Microsoft Sentinel, aby upewnić się, że wszystkie strumienie danych zostały zastąpione przy użyciu nowych łączników opartych na usłudze AMA.

  7. Odinstaluj starszego agenta. Aby uzyskać więcej informacji, zobacz Zarządzanie agentem usługi Log Analytics Azure.

W przypadku wdrożenia produkcyjnego zalecamy skonfigurowanie usługi AMA dla każdego źródła danych. Aby rozwiązać wszelkie problemy związane z duplikowaniem, zobacz odpowiednie często zadawane pytania w dokumentacji usługi Azure Monitor.

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

  • Last updated on