Поделиться через

Миграция AMA для Microsoft Sentinel

  • Статья

В этой статье описывается процесс миграции на агент Azure Monitor (АМА) при наличии существующего агента Log Analytics (MMA/OMS) и работе с Microsoft Sentinel.

Внимание

Агент Log Analytics будет снят с учета 31 августа 2024 г.. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуем начать планирование перехода на AMA.

Необходимые компоненты

Начните с документации по Azure Monitor, которая предоставляет сравнение агентов и общие сведения об этом процессе миграции.

Эта статья содержит конкретные сведения и различия для Microsoft Sentinel.

Анализ несоответствий между агентами

Агент Azure Monitor предоставляет дополнительные функциональные возможности и пропускную способность, которая лучше, чем устаревшие агенты Log Analytics. Перейдите на новые соединители AMA, чтобы повысить производительность, особенно если вы используете серверы в качестве средств пересылки журналов для событий безопасности Windows или переадресации событий.

Агент Azure Monitor предоставляет следующие дополнительные функции, которые не поддерживаются устаревшими агентами Log Analytics:

Тип журнала Функция
Журналы Windows Фильтрация по идентификатору события безопасности
Переадресация событий Windows
Журналы Linux Множественная адресация

Единственными журналами, поддерживаемыми только устаревшим агентом Log Analytics, являются журналы брандмауэра Windows.

У каждой организации будут собственные метрики успеха и внутренние процессы миграции. В этом разделе приведены рекомендации, которые следует учитывать при переходе с агента Log Analytics MMA/OMS на AMA, в частности для Microsoft Sentinel.

Включите в процесс миграции следующие шаги:

  1. Убедитесь, что вы ознакомились с необходимыми предварительными условиями и другими рекомендациями, как описано здесь в документации по Azure Monitor.

  2. Выполните подтверждение концепции, чтобы проверить, как AMA отправляет данные в Microsoft Sentinel, в идеале в среде разработки или песочницы.

    1. Чтобы подключить компьютеры Windows к соединителю событий безопасности Windows, начните со страницы соединителя данных событий безопасности Windows с использованием AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Подключения на основе агента Windows.

    2. Перейдите на страницу соединителя данных событий безопасности с использованием агента прежних версий. На вкладке Инструкции в разделе Конфигурация>Этап 2. Выбрать события для потоковой передачи нажмите Нет. Система будет настроена таким образом, что вы не будете получать никаких событий безопасности через MMA/OMS, но другие источники данных, использующие этот агент, продолжат работать. Этот этап охватывает все компьютеры, передающие отчеты в текущую рабочую область Log Analytics.

    Внимание

    Получение данных из одного источника с помощью двух различных типов агентов приведет к двойной оплате за прием и дублированию событий в рабочей области Microsoft Sentinel.

    Если вам нужно одновременно работать с обоими соединителями данных, делайте это в течение ограниченного времени для тестирования производительности и сравнения агентов, в идеале в отдельной тестовой рабочей области.

  3. Оцените успешность подтверждения концепции.

    Чтобы упростить этот этап, используйте книгу Трекер миграции AMA, в которой отображаются серверы, отправляющие отчеты в ваши рабочие области, а также указывается, какие агенты на них установлены: устаревший MMA, AMA или оба. Эту книгу также можно использовать для просмотра DCR, собирающих события с ваших компьютеров, и типов собираемых событий.

    Например:

    Снимок экрана: книга отслеживания миграции AMA.

    Критерии успеха должны включать статистический анализ и сравнение количественных данных, принимаемых агентами MMA/OMS и AMA на одном узле:

    • Измерьте успешное выполнение за определенный период времени, который представляет нормальную рабочую нагрузку для вашей среды.

    • Во время тестирования проверьте каждую новую функцию, предоставляемую AMA, например, многоадресную поддержку Linux, фильтрацию событий Windows и т. д.

    • Спланируйте развертывание агентов AMA в рабочей среде в соответствии с профилем риска вашей организации и процессами изменений.

  4. Разверните новый агент в рабочей среде и выполните окончательный тест функциональности AMA.

  5. Отключите все соединители данных, которые используют устаревший соединитель, например "События безопасности с MMA". Оставьте новый соединитель, например "События безопасности Windows с AMA".

    Хотя устаревшие агенты MMA/OMS и AMA могут работать параллельно, убедитесь, что каждый источник данных использует только один агент для отправки данных в Microsoft Sentinel, чтобы избежать лишних расходов и дублирования данных.

  6. Проверьте рабочую область Microsoft Sentinel, чтобы убедиться, что все потоки данных заменены новыми соединителями на основе AMA.

  7. Удалите устаревший агент. Дополнительные сведения см. в статье Управление агентом Azure Log Analytics.

Вопросы и ответы

Следующие вопросы и ответы относятся к проблемам, специфичным для миграции на AMA с помощью Microsoft Sentinel. Дополнительные сведения см. в статье "Часто задаваемые вопросы об агенте Azure Monitor" в документации по Azure Monitor.

Что произойдет, если я одновременно запущу MMA/OMS и AMA в развертывании Microsoft Sentinel?

Агенты АМА и MMA/OMS могут существовать на одном компьютере. Если они оба отправляют данные в рабочую область Microsoft Sentinel из одного и того же источника данных в одно и то же время с одного узла, возникают повторяющиеся события и взимается двойная плата за прием данных.

Для развертывания в рабочей среде рекомендуется настроить агент MMA/OMS или AMA для каждого источника данных. Чтобы устранить проблемы, связанные с дублированием, см. соответствующие вопросы и ответы в документации по Azure Monitor.

УAMA пока нет возможностей, необходимых для моего развертывания Microsoft Sentinel. Следует ли переходить на AMA?

Устаревший агент Log Analytics будет снят с учета 31 августа 2024 г.

Мы рекомендуем следить за выпуском новых функций AMA, так как они будут повторять все функции MMA/OMS. Постарайтесь перейти на AMA как можно скорее, как только в новом агенте появятся нужные вам функции.

Хотя вы можете одновременно запускать MMA и AMA, может потребоваться переносить каждый соединитель по одному во время выполнения обоих агентов.

Дальнейшие действия

Дополнительные сведения см. в разделе: