Migração do AMA para o Microsoft Sentinel
Este artigo descreve o processo de migração para o AMA (agente do Azure Monitor) quando você tem um Agente do Log Analytics (MMA/OMS) existente e está trabalhando com o Microsoft Sentinel.
Importante
O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA.
Pré-requisitos
Comece com a documentação Azure Monitor, que fornece uma comparação de agente e informações gerais para esse processo de migração.
Este artigo fornece detalhes e diferenças específicos para o Microsoft Sentinel.
Análise de lacunas entre agentes
O agente do Azure Monitor fornece funcionalidade extra e uma taxa de transferência 25% melhor do que os agentes herdados do Log Analytics. Migre para os novos conectores AMA para obter melhor desempenho, especialmente se você estiver usando seus servidores como encaminhadores de log para eventos de segurança do Windows ou eventos encaminhados.
O agente do Azure Monitor fornece a seguinte funcionalidade extra, que não é suportada pelos agentes herdados do Log Analytics:
| Tipo de log | Funcionalidade |
|---|---|
| Logs do Windows | Filtrando por ID de evento de segurança Encaminhamento de eventos do Windows |
| Logs do Linux | Hospedagem múltipla |
Os únicos logs suportados apenas pelo agente herdado do Log Analytics são os logs do Firewall do Windows.
Plano de migração recomendado
Cada organização terá diferentes métricas de sucesso e processos de migração internos. Esta seção fornece diretrizes sugeridas a serem consideradas ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para o Microsoft Sentinel.
Inclua as seguintes etapas em seu processo de migração:
Verifique se você examinou os pré-requisitos necessários e outras considerações, conforme documentado aqui na documentação do Azure Monitor.
Execute uma prova de conceito para testar como o AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou de área restrita.
Para conectar seus computadores Windows ao conector de Eventos de Segurança do Windows, comece com a página do conector de dados de Eventos de Segurança do Windows via AMA no Microsoft Sentinel. Para obter mais informações, confira Conexões baseadas em agente do Windows.
Acesse a página de conector de dados dos Eventos de Segurança via Agente Herdado. Na guia Instruções, em Configuração> Etapa 2, Selecione quais eventos transmitir, selecione Nenhum. Isso configura seu sistema para que você não receba nenhum evento de segurança por meio do MMA/OMS, mas outras fontes de dados que dependem desse agente continuarão a funcionar. Essa etapa afeta todos os computadores que se reportam ao seu workspace atual do Log Analytics.
Importante
A ingestão de dados da mesma fonte usando dois tipos diferentes de agentes resultará em cobranças de ingestão dupla e eventos duplicados no workspace do Microsoft Sentinel.
Se você precisar manter ambos os conectores de dados em execução simultaneamente, recomendamos que você faça isso apenas por um tempo limitado para uma atividade de comparação de parâmetros ou comparação de teste, idealmente em um workspace de teste separado.
Meça o sucesso de sua prova de conceito.
Para ajudar com essa etapa, use a pasta de trabalho do rastreador de migração do AMA, que exibe os servidores que relatam aos seus workspaces e mostram se eles têm o MMA herdado, o AMA ou ambos os agentes instalados. Você também pode usar essa guia de trabalho para exibir os DCRs que coletam eventos de seus computadores e quais eventos eles estão coletando.
Por exemplo:
Os critérios de sucesso devem incluir uma análise estatística e uma comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo host:
Meça seu sucesso em um período de tempo predefinido que representa uma carga de trabalho normal para seu ambiente.
Durante o teste, teste cada novo recurso fornecido pelo AMA, como multi-homing do Linux, filtragem de eventos do Windows e assim por diante.
Planeje sua adoção para agentes AMA em seu ambiente de produção de acordo com o perfil de risco e os processos de alteração da sua organização.
Distribua o novo agente para o seu ambiente de produção e execute um teste final da funcionalidade do AMA.
Desconecte todos os conectores de dados que dependem do conector herdado, como Eventos de Segurança com MMA. Deixe o novo conector, como Eventos de Segurança do Windows com AMA, em execução.
Embora você possa ter os agentes herdados AMA e MMA/OMS e AMA em execução em paralelo, evite custos e dados duplicados, fazendo com que cada fonte de dados use apenas um agente para enviar dados para o Microsoft Sentinel.
Verifique seu workspace do Microsoft Sentinel para verificar se todos os fluxos de dados foram substituídos usando os novos conectores baseados em AMA.
Desinstale o agente herdado. Para obter mais informações, confira Gerenciar o agente do Azure Log Analytics.
Perguntas frequentes
As perguntas frequentes a seguir abordam problemas específicos da migração do AMA com o Microsoft Sentinel. Para obter mais informações, consulte também as Perguntas frequentes sobre AMA de migração e Perguntas frequentes sobre Agente do Azure Monitor na documentação do Azure Monitor.
O que acontece se eu executar o MMA/OMS e o AMA em paralelo na minha implantação do Microsoft Sentinel?
Os agentes AMA e MMA/OMS podem coexistir no mesmo computador. Se ambos enviarem dados da mesma fonte de dados para um workspace do Microsoft Sentinel, ao mesmo tempo, de apenas um host, ocorrerão eventos duplicados e cobranças de ingestão dupla.
Para sua distribuição de produção, recomendamos que você configure um agente MMA/OMS ou AMA para cada fonte de dados. Para resolver problemas de duplicação, confira as perguntas frequentes relevantes na documentação do Azure Monitor.
O AMA ainda não tem os recursos de que minha implantação do Microsoft Sentinel precisa para funcionar. Eu já devo migrar?
O agente do Log Analytics será desativado em 31 de agosto de 2024.
Recomendamos que você se mantenha atualizado com os novos recursos que estão sendo lançados para o AMA ao longo do tempo, pois ele busca a paridade com o MMA/OMS. Busque migrar assim que os recursos que você precisa para executar sua implantação do Microsoft Sentinel estiverem disponíveis no AMA.
Embora seja possível executar o MMA e o AMA simultaneamente, talvez você queira migrar cada conector, um de cada vez, enquanto executa os dois agentes.
Próximas etapas
Para obter mais informações, consulte: