Миграция AMA для Microsoft Sentinel
В этой статье описывается процесс миграции на агент Azure Monitor (АМА) при наличии существующего агента Log Analytics (MMA/OMS) и работе с Microsoft Sentinel.
Важно!
Агент Log Analytics будет снят с учета 31 августа 2024 г.. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуем начать планирование перехода на AMA.
Необходимые компоненты
Начните с документации по Azure Monitor, которая предоставляет сравнение агентов и общие сведения об этом процессе миграции.
Эта статья содержит конкретные сведения и различия для Microsoft Sentinel.
Анализ несоответствий между агентами
В следующих таблицах показан анализ несоответствий для типов журналов, которые в настоящее время используют сбор данных на основе агента для Microsoft Sentinel. Он будет обновляться по мере того, как поддержка AMA будет расширяться до соответствия с агентом Log Analytics.
Журналы Windows
| Тип журнала / поддержка | Поддержка агента Azure Monitor | Поддержка агента Log Analytics |
|---|---|---|
| События безопасности | соединитель данных событий Безопасность Windows | Соединитель данных событий безопасности Windows (прежняя версия) |
| Фильтрация по идентификатору события безопасности | соединитель данных событий Безопасность Windows (AMA) | - |
| Фильтрация по идентификатору события | Только сбор | - |
| Пересылка событий Windows | перенаправленные события Windows; | - |
| Журналы брандмауэра Windows | - | Соединитель данных брандмауэра Windows |
| Счетчики производительности | Только сбор | Только сбор |
| Журналы событий Windows (System) | Только сбор | Только сбор |
| Пользовательские журналы (текст) | Только сбор | Только сбор |
| Журналы IIS | Только сбор | Только сбор |
| Множественная адресация | Только сбор | Только сбор |
| Журналы приложений и служб | Только сбор | Только сбор |
| Sysmon | Только сбор | Только сбор |
| Журналы DNS | Соединитель DNS-серверов Windows через AMA (общедоступная предварительная версия) | Соединитель DNS-сервера Windows (общедоступная предварительная версия) |
Важно!
Агент Azure Monitor обеспечивает пропускную способность, которая лучше, чем устаревшие агенты Log Analytics. Перейдите на новые соединители AMA, чтобы повысить производительность, особенно если вы используете серверы в качестве средств пересылки журналов для событий безопасности Windows или переадресации событий.
Журналы Linux
| Тип журнала / поддержка | Поддержка агента Azure Monitor | Поддержка агента Log Analytics |
|---|---|---|
| Syslog | Только сбор | Соединитель данных системного журнала |
| Common Event Format (CEF) | CEF через соединитель данных AMA | Соединитель данных CEF |
| Sysmon | Только сбор | Только сбор |
| Пользовательские журналы (текст) | Только сбор | Только сбор |
| Множественная адресация | Только сбор | - |
Рекомендуемый план миграции
У каждой организации будут собственные метрики успеха и внутренние процессы миграции. В этом разделе приведены рекомендации, которые следует учитывать при переходе с агента Log Analytics MMA/OMS на AMA, в частности для Microsoft Sentinel.
Включите в процесс миграции следующие шаги:
Убедитесь, что вы ознакомились с необходимыми предварительными условиями и другими рекомендациями, как описано здесь в документации по Azure Monitor.
Выполните подтверждение концепции, чтобы проверить, как AMA отправляет данные в Microsoft Sentinel, в идеале в среде разработки или песочницы.
Чтобы подключить компьютеры Windows к соединителю событий безопасности Windows, начните со страницы соединителя данных событий безопасности Windows с использованием AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Подключения на основе агента Windows.
Перейдите на страницу соединителя данных событий безопасности с использованием агента прежних версий. На вкладке Инструкции в разделе Конфигурация>Этап 2. Выбрать события для потоковой передачи нажмите Нет. Система будет настроена таким образом, что вы не будете получать никаких событий безопасности через MMA/OMS, но другие источники данных, использующие этот агент, продолжат работать. Этот этап охватывает все компьютеры, передающие отчеты в текущую рабочую область Log Analytics.
Важно!
Получение данных из одного источника с помощью двух различных типов агентов приведет к двойной оплате за прием и дублированию событий в рабочей области Microsoft Sentinel.
Если вам нужно одновременно работать с обоими соединителями данных, делайте это в течение ограниченного времени для тестирования производительности и сравнения агентов, в идеале в отдельной тестовой рабочей области.
Оцените успешность подтверждения концепции.
Чтобы упростить этот этап, используйте книгу Трекер миграции AMA, в которой отображаются серверы, отправляющие отчеты в ваши рабочие области, а также указывается, какие агенты на них установлены: устаревший MMA, AMA или оба. Эту книгу также можно использовать для просмотра DCR, собирающих события с ваших компьютеров, и типов собираемых событий.
Например:
Критерии успеха должны включать статистический анализ и сравнение количественных данных, принимаемых агентами MMA/OMS и AMA на одном узле:
Измерьте успешное выполнение за определенный период времени, который представляет нормальную рабочую нагрузку для вашей среды.
Во время тестирования проверьте каждую новую функцию, предоставляемую AMA, например, многоадресную поддержку Linux, фильтрацию событий Windows и т. д.
Спланируйте развертывание агентов AMA в рабочей среде в соответствии с профилем риска вашей организации и процессами изменений.
Разверните новый агент в рабочей среде и выполните окончательный тест функциональности AMA.
Отключите все соединители данных, которые используют устаревший соединитель, например "События безопасности с MMA". Оставьте новый соединитель, например "События безопасности Windows с AMA".
Хотя устаревшие агенты MMA/OMS и AMA могут работать параллельно, убедитесь, что каждый источник данных использует только один агент для отправки данных в Microsoft Sentinel, чтобы избежать лишних расходов и дублирования данных.
Проверьте рабочую область Microsoft Sentinel, чтобы убедиться, что все потоки данных заменены новыми соединителями на основе AMA.
Удалите устаревший агент. Дополнительные сведения см. в статье Управление агентом Azure Log Analytics.
Вопросы и ответы
Следующие часто задаваемые вопросы относятся к проблемам, связанным с миграцией на AMA с использованием Microsoft Sentinel. Дополнительные сведения см. также на часто задаваемые вопросы о миграции AMA и часто задаваемые вопросы об агенте Azure Monitor в документации по Azure Monitor.
Что произойдет, если я одновременно запущу MMA/OMS и AMA в развертывании Microsoft Sentinel?
Агенты АМА и MMA/OMS могут существовать на одном компьютере. Если они оба отправляют данные в рабочую область Microsoft Sentinel из одного и того же источника данных в одно и то же время с одного узла, возникают повторяющиеся события и взимается двойная плата за прием данных.
Для развертывания в рабочей среде рекомендуется настроить агент MMA/OMS или AMA для каждого источника данных. Чтобы устранить проблемы, связанные с дублированием, см. соответствующие вопросы и ответы в документации по Azure Monitor.
УAMA пока нет возможностей, необходимых для моего развертывания Microsoft Sentinel. Следует ли переходить на AMA?
Устаревший агент Log Analytics будет снят с учета 31 августа 2024 г.
Мы рекомендуем следить за выпуском новых функций AMA, так как они будут повторять все функции MMA/OMS. Постарайтесь перейти на AMA как можно скорее, как только в новом агенте появятся нужные вам функции.
Хотя вы можете одновременно запускать MMA и AMA, может потребоваться переносить каждый соединитель по одному во время выполнения обоих агентов.
Дальнейшие действия
Дополнительные сведения см. в разделе: