Migração AMA para Microsoft Sentinel

Este artigo descreve o processo de migração para o Azure Monitor Agent (AMA) quando você tem um Log Analytics Agent (MMA/OMS) existente e está trabalhando com o Microsoft Sentinel.

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que comece a planejar sua migração para a AMA.

Pré-requisitos

Comece com a documentação do Azure Monitor, que fornece uma comparação de agente e informações gerais para esse processo de migração.

Este artigo fornece detalhes específicos e diferenças para o Microsoft Sentinel.

Análise de lacunas entre agentes

As tabelas a seguir mostram análises de lacunas para os tipos de log que atualmente dependem da coleta de dados baseada em agente para o Microsoft Sentinel. Isso será atualizado à medida que o suporte para AMA crescer em direção à paridade com o agente do Log Analytics.

Logs do Windows

Tipo de registo / Suporte Suporte ao agente do Azure Monitor Suporte ao agente do Log Analytics
Eventos de Segurança Conector de dados de Eventos de Segurança do Windows Conector de dados de Eventos de Segurança do Windows (Legado)
Filtragem por ID de evento de segurança Conector de dados de Eventos de Segurança do Windows (AMA) -
Filtragem por ID de evento Apenas recolha -
Reencaminhamento de Eventos do Windows Eventos encaminhados do Windows -
Windows Firewall Logs - Conector de dados do Firewall do Windows
Contadores de desempenho Apenas recolha Apenas recolha
Logs de eventos do Windows (sistema) Apenas recolha Apenas recolha
Logs personalizados (texto) Apenas recolha Apenas recolha
Registos do IIS Apenas recolha Apenas recolha
Multi-homing Apenas recolha Apenas recolha
Logs de aplicativos e serviços Apenas recolha Apenas recolha
Sysmon Apenas recolha Apenas recolha
Registos DNS Servidores DNS do Windows através do conector AMA (Pré-visualização pública) Conector do Servidor DNS do Windows (visualização pública)

Importante

O agente do Azure Monitor fornece uma taxa de transferência 25% melhor do que os agentes herdados do Log Analytics. Migre para os novos conectores AMA para obter maior desempenho, especialmente se você estiver usando seus servidores como encaminhadores de log para eventos de segurança do Windows ou eventos encaminhados.

Logs do Linux

Tipo de registo / Suporte Suporte ao agente do Azure Monitor Suporte ao agente do Log Analytics
Syslog Apenas recolha Conector de dados Syslog
Formato comum do evento (CEF) CEF via conector de dados AMA Conector de dados CEF
Sysmon Apenas recolha Apenas recolha
Logs personalizados (texto) Apenas recolha Apenas recolha
Multi-homing Apenas recolha -

Cada organização terá diferentes métricas de sucesso e processos de migração interna. Esta seção fornece orientações sugeridas a serem consideradas ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para o Microsoft Sentinel.

Inclua as seguintes etapas no processo de migração:

  1. Certifique-se de que analisou os pré-requisitos necessários e outras considerações, conforme documentado aqui na documentação do Azure Monitor.

  2. Execute uma prova de conceito para testar como o AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou sandbox.

    1. Para conectar suas máquinas Windows ao conector de Eventos de Segurança do Windows, comece com Eventos de Segurança do Windows por meio da página do conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Conexões baseadas em agente do Windows.

    2. Vá para a página Eventos de segurança por meio do conector de dados do Legacy Agent . Na guia Instruções, em Etapa de configuração> 2, selecione quais eventos transmitir, selecione Nenhum. Isso configura seu sistema para que você não receba nenhum evento de segurança por meio do MMA/OMS, mas outras fontes de dados que dependem desse agente continuarão a funcionar. Esta etapa afeta todas as máquinas que relatam para seu espaço de trabalho atual do Log Analytics.

    Importante

    A ingestão de dados da mesma fonte usando dois tipos diferentes de agentes resultará em cobranças de ingestão dupla e eventos duplicados no espaço de trabalho do Microsoft Sentinel.

    Se você precisar manter ambos os conectores de dados funcionando simultaneamente, recomendamos que o faça apenas por um tempo limitado para uma atividade de benchmarking ou comparação de teste, idealmente em um espaço de trabalho de teste separado.

  3. Meça o sucesso da sua prova de conceito.

    Para ajudar nessa etapa, use a pasta de trabalho do rastreador de migração AMA, que exibe os servidores que relatam seus espaços de trabalho e se eles têm o MMA herdado, o AMA ou ambos os agentes instalados. Você também pode usar essa pasta de trabalho para exibir os DCRs coletando eventos de suas máquinas e quais eventos eles estão coletando.

    Por exemplo:

    Screenshot of the AMA migration tracker workbook.

    Os critérios de sucesso devem incluir uma análise estatística e comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo hospedeiro:

    • Meça seu sucesso durante um período de tempo predefinido que representa uma carga de trabalho normal para seu ambiente.

    • Durante o teste, certifique-se de testar cada novo recurso fornecido pela AMA, como Linux multi-homing, filtragem de eventos do Windows e assim por diante.

    • Planeje sua implementação para agentes AMA em seu ambiente de produção de acordo com o perfil de risco e os processos de mudança da sua organização.

  4. Implemente o novo agente em seu ambiente de produção e execute um teste final da funcionalidade AMA.

  5. Desconecte todos os conectores de dados que dependem do conector herdado, como Eventos de Segurança com MMA. Deixe o novo conector, como Eventos de Segurança do Windows com AMA, em execução.

    Embora você possa ter os agentes MMA/OMS herdados e AMA em execução em paralelo, evite custos e dados duplicados certificando-se de que cada fonte de dados use apenas um agente para enviar dados para o Microsoft Sentinel.

  6. Verifique seu espaço de trabalho do Microsoft Sentinel para certificar-se de que todos os seus fluxos de dados foram substituídos usando os novos conectores baseados em AMA.

  7. Desinstale o agente herdado. Para obter mais informações, consulte Gerenciar o agente do Azure Log Analytics .

FAQs

As perguntas frequentes a seguir abordam problemas específicos da migração do AMA com o Microsoft Sentinel. Para obter mais informações, consulte também as Perguntas frequentes sobre a migração do AMA e Perguntas frequentes sobre o Agente do Azure Monitor na documentação do Azure Monitor.

O que acontece se eu executar MMA/OMS e AMA em paralelo na minha implantação do Microsoft Sentinel?

Os agentes AMA e MMA/OMS podem coexistir na mesma máquina. Se ambos enviarem dados, da mesma fonte de dados para um espaço de trabalho do Microsoft Sentinel, ao mesmo tempo, de um único host, ocorrerão eventos duplicados e cobranças de ingestão dupla.

Para sua distribuição de produção, recomendamos que você configure um agente MMA/OMS ou o AMA para cada fonte de dados. Para resolver quaisquer problemas de duplicação, consulte as perguntas frequentes relevantes na documentação do Azure Monitor.

O AMA ainda não tem os recursos que minha implantação do Microsoft Sentinel precisa para funcionar. Devo migrar ainda?

O agente legado do Log Analytics será desativado em 31 de agosto de 2024.

Recomendamos que você se mantenha atualizado com os novos recursos que estão sendo lançados para o AMA ao longo do tempo, à medida que ele atinge a paridade com o MMA/OMS. Procure migrar assim que os recursos necessários para executar sua implantação do Microsoft Sentinel estiverem disponíveis na AMA.

Embora você possa executar o MMA e o AMA simultaneamente, convém migrar cada conector, um de cada vez, enquanto executa ambos os agentes.

Próximos passos

Para obter mais informações, consulte: