Migração ama para Microsoft Sentinel

Este artigo descreve o processo de migração para o Agente do Azure Monitor (AMA) quando tem um Agente do Log Analytics (MMA/OMS) existente e legado e está a trabalhar com Microsoft Sentinel.

O agente do Log Analytics é descontinuado a partir de 31 de agosto de 2024. Se estiver a utilizar o agente do Log Analytics na implementação do Microsoft Sentinel, recomendamos que migre para o AMA.

Pré-requisitos

  • Comece com a documentação do Azure Monitor, que fornece uma comparação de agentes e informações gerais para este processo de migração. Este artigo fornece detalhes e diferenças específicos para Microsoft Sentinel.

Migrar para o Agente do Azure Monitor

Cada organização terá diferentes métricas de êxito e processos de migração internos. Esta secção fornece orientações sugeridas a considerar ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para Microsoft Sentinel.

Inclua os seguintes passos no processo de migração:

  1. Confirme que reviu os pré-requisitos necessários e outras considerações, conforme documentado na documentação do Azure Monitor. Para obter mais informações, consulte Antes de começar.

  2. Execute uma prova de conceito para testar como a AMA envia dados para Microsoft Sentinel, idealmente num ambiente de desenvolvimento ou sandbox.

    1. No Microsoft Sentinel, instale a solução Microsoft Sentinel eventos do Segurança do Windows. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.

    2. Para ligar os computadores Windows ao conector de Eventos do Segurança do Windows, comece com a página Eventos de Segurança do Windows através do conector de dados AMA no Microsoft Sentinel. Para obter mais informações, veja Ligações baseadas no agente do Windows.

    3. Continue com a página Eventos de Segurança através do conector de dados do Agente Legado. No separador Instruções, emPasso deConfiguração> 2 >Selecione os eventos a transmitir, selecione Nenhum. Esta ação configura o seu sistema para que não receba eventos de segurança através do MMA/OMS, mas outras origens de dados que dependem deste agente continuarão a funcionar. Este passo afeta todos os computadores que reportam à área de trabalho atual do Log Analytics.

    Importante

    A ingestão de dados da mesma origem com dois tipos diferentes de agentes resultará em custos de ingestão dupla e eventos duplicados na área de trabalho Microsoft Sentinel.

    Se precisar de manter ambos os conectores de dados em execução em simultâneo, recomendamos que o faça apenas por um tempo limitado para uma atividade de comparação de testes ou testes, idealmente numa área de trabalho de teste separada.

  3. Meça o sucesso da sua prova de conceito.

    Para ajudar neste passo, utilize o livro de monitorização de migração AMA , que apresenta os servidores que reportam às suas áreas de trabalho e se têm o MMA legado, o AMA ou ambos os agentes instalados. Também pode utilizar este livro para ver os DCRs que recolhem eventos das suas máquinas e os eventos que estão a recolher.

    Certifique-se de que seleciona a subscrição e o grupo de recursos na parte superior do livro para mostrar os dados do seu ambiente. Por exemplo:

    Captura de ecrã a mostrar o livro do controlador de migração ama.

    Para obter mais informações, consulte Visualizar e monitorizar os seus dados com livros no Microsoft Sentinel.

    Os critérios de êxito devem incluir uma análise estatística e uma comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo anfitrião:

    • Meça o seu sucesso durante um período de tempo predefinido que representa uma carga de trabalho normal para o seu ambiente.

    • Durante o teste, certifique-se de que testa cada nova funcionalidade fornecida pelo AMA, como Linux multi-homing, filtragem de eventos do Windows, etc.

    • Planeie a sua implementação para agentes AMA no seu ambiente de produção de acordo com o perfil de risco e os processos de alteração da sua organização.

  4. Implemente o novo agente no seu ambiente de produção e execute um teste final da funcionalidade AMA.

  5. Desligue quaisquer conectores de dados que dependam do conector legado, como Eventos de Segurança com MMA. Deixe o novo conector, como Segurança do Windows Eventos com AMA, em execução.

    Embora possa ter o MMA/OMS legado e os agentes AMA em execução em paralelo, evite custos e dados duplicados ao garantir que cada origem de dados utiliza apenas um agente para enviar dados para Microsoft Sentinel.

  6. Verifique a área de trabalho Microsoft Sentinel para se certificar de que todos os fluxos de dados foram substituídos com os novos conectores baseados na AMA.

  7. Desinstale o agente legado. Para obter mais informações, veja Manage the Azure Log Analytics agent (Gerir o agente do Log Analytics do Azure).

Para a implementação de produção, recomendamos que configure o AMA para cada origem de dados. Para resolver quaisquer problemas de duplicação, veja as FAQs relevantes na documentação do Azure Monitor.

Conteúdo relacionado

Para saber mais, confira:

  • Last updated on