Förbereda för tillbakadragning av Log Analytics-agenten
Log Analytics-agenten, även kallad Microsoft Monitoring Agent (MMA), går i pension i augusti 2024. Därför uppdateras Defender för servrar och Defender för SQL på datorplaner i Microsoft Defender för molnet, och funktioner som förlitar sig på Log Analytics-agenten kommer att göras om.
Den här artikeln sammanfattar planer för agentens tillbakadragning.
Förbereda Defender för servrar
Defender for Servers-planen använder Log Analytics-agenten i allmän tillgänglighet (GA) och i AMA för vissa funktioner (i förhandsversion). Här är vad som händer med de här funktionerna framöver:
För att förenkla registreringen kommer alla säkerhetsfunktioner och funktioner i Defender för servrar att tillhandahållas med en enda agent (Microsoft Defender för Endpoint), kompletterad med agentlös datorgenomsökning, utan något beroende av Log Analytics-agenten eller AMA. Observera att:
- Defender for Servers-funktioner, som är baserade på AMA, är för närvarande i förhandsversion och kommer inte att släppas i GA.
- Funktioner i förhandsversionen som förlitar sig på AMA stöds fortfarande tills en alternativ version av funktionen tillhandahålls, som förlitar sig på Defender för Endpoint-integrering eller funktionen för agentlös datorgenomsökning.
- Genom att aktivera defender för endpoint-integrering och agentlös maskingenomsökning innan utfasningen äger rum är defender for servers-distributionen uppdaterad och stöds.
Funktionsfunktioner
I följande tabell sammanfattas hur funktionerna i Defender för servrar kommer att tillhandahållas. De flesta funktioner är redan allmänt tillgängliga med hjälp av Defender för Endpoint-integrering eller agentlös maskingenomsökning. Resten av funktionerna är antingen tillgängliga i GA när MMA dras tillbaka eller kommer att bli inaktuellt.
| Funktion | Aktuellt stöd | Nytt stöd | Status för ny upplevelse |
|---|---|---|---|
| Defender för Endpoint-integrering för Windows-datorer på låg nivå (Windows Server 2016/2012 R2) | Äldre Defender för Endpoint-sensor, baserat på Log Analytics-agenten | Enhetlig agentintegrering | – Funktioner med den enhetliga agenten är GA. – Funktioner med den äldre Defender för Endpoint-sensorn som använder Log Analytics-agenten kommer att bli inaktuella i augusti 2024. |
| Hotidentifiering på OS-nivå | Log Analytics handläggare | Integrering av Defender för Endpoint-agent | Funktioner med Defender för Endpoint-agenten är GA. |
| Anpassningsbara programkontroller | Log Analytics-agent (GA), AMA (förhandsversion) | --- | Funktionen för anpassningsbar programkontroll är inställd på att vara inaktuell i augusti 2024. |
| Rekommendationer för identifiering av slutpunktsskydd | Rekommendationer som är tillgängliga via CSPM-planen (Foundational Cloud Security Posture Management) och Defender for Servers med hjälp av Log Analytics-agenten (GA), AMA (förhandsversion) | Agentlös datorgenomsökning | – Funktioner med agentlös maskingenomsökning släpps till förhandsversionen i februari 2024 som en del av Defender for Servers Plan 2 och Defender CSPM-planen. – Virtuella Azure-datorer, GCP-instanser (Google Cloud Platform) och Amazon Web Services-instanser (AWS) stöds. Lokala datorer stöds inte. |
| Rekommendation om os-uppdatering saknas | Rekommendationer tillgängligt i de grundläggande CSPM- och Defender for Servers-planerna med hjälp av Log Analytics-agenten. | Integrering med Update Manager, Microsoft | Nya rekommendationer som baseras på Azure Update Manager-integrering är GA, utan agentberoenden. |
| Os-felkonfigurationer (Microsoft Cloud Security Benchmark) | Rekommendationer som är tillgängliga via foundational CSPM- och Defender for Servers-planer med hjälp av Log Analytics-agenten, gästkonfigurationsagenten (förhandsversion). | Microsoft Defender – hantering av säkerhetsrisker premium som en del av Defender for Servers Plan 2. | – Funktioner baserade på integrering med Microsoft Defender – hantering av säkerhetsrisker Premium kommer att vara tillgängliga i förhandsversionen runt april 2024. – Funktioner med Log Analytics-agenten kommer att bli inaktuella i augusti 2024 – Funktioner med gästkonfigurationsagenten (förhandsversion) kommer att bli inaktuella när Microsoft Defender – hantering av säkerhetsrisker är tillgänglig. – Stöd för den här funktionen för Docker-hubb- och Azure Virtual Machine Scale Sets kommer att vara inaktuell i augusti 2024. |
| Övervakning av filintegritet | Log Analytics-agent, AMA (förhandsversion) | Integrering av Defender för Endpoint-agent | Funktioner med Defender för Endpoint-agenten kommer att vara tillgängliga runt april 2024. – Funktioner med Log Analytics-agenten kommer att bli inaktuella i augusti 2024. – Funktioner med AMA upphör att fungera när Defender för Endpoint-integreringen släpps. |
500 MB-förmånen för datainmatning över de definierade tabellerna stöds fortfarande via AMA-agenten för datorerna under prenumerationer som omfattas av Defender for Servers Plan 2. Varje dator är endast berättigad till förmånen en gång, även om både Log Analytics-agenten och Azure Monitor-agenten är installerade på den. Läs mer om hur du distribuerar AMA.
För SQL-servrar på datorer rekommenderar vi att du migrerar till sql-serverinriktade azure monitoring agent (AMA) automatisk etableringsprocess.
Upplevelse av rekommendationer för slutpunktsskydd
Slutpunktsidentifiering och rekommendationer tillhandahålls för närvarande av Defender för molnet Grundläggande CSPM och Defender for Servers-planer med Log Analytics-agenten i GA eller i förhandsversion via AMA. Den här upplevelsen kommer att ersättas av säkerhetsrekommendationer som samlas in med hjälp av agentlös maskingenomsökning.
Rekommendationer för slutpunktsskydd skapas i två steg. Det första steget är identifiering av en identifiering och åtgärd på slutpunkt lösning. Den andra är utvärderingen av lösningens konfiguration. Följande tabeller innehåller information om de aktuella och nya upplevelserna för varje fas.
Lär dig hur du hanterar de nya identifiering och åtgärd på slutpunkt rekommendationerna (agentlösa).
Lösning för slutpunktsidentifiering och svar – identifiering
| Ytdiagram | Aktuell upplevelse (baserat på AMA/MMA) | Ny upplevelse (baserad på agentlös maskingenomsökning) |
|---|---|---|
| Vad behövs för att klassificera en resurs som felfri? | Ett antivirusprogram är på plats. | Det finns en identifiering och åtgärd på slutpunkt lösning. |
| Vad behövs för att få rekommendationen? | Log Analytics handläggare | Agentlös datorgenomsökning |
| Vilka planer stöds? | – Grundläggande CSPM (kostnadsfritt) – Defender för servrar, plan 1 och plan 2 |
– Defender CSPM – Defender för servrar, plan 2 |
| Vilken korrigering är tillgänglig? | Installera Microsoft anti-malware. | Installera Defender för Endpoint på valda datorer/prenumerationer. |
Lösning för slutpunktsidentifiering och svar – konfigurationsbedömning
| Ytdiagram | Aktuell upplevelse (baserat på AMA/MMA) | Ny upplevelse (baserad på agentlös maskingenomsökning) |
|---|---|---|
| Resurser klassificeras som felaktiga om en eller flera av säkerhetskontrollerna inte är felfria. | Tre säkerhetskontroller: – Realtidsskyddet är inaktiverat - Signaturer är inaktuella. – Både snabbsökning och fullständig genomsökning körs inte på sju dagar. |
Tre säkerhetskontroller: – Antivirus är inaktiverat eller delvis konfigurerat - Signaturer är inaktuella – Både snabbsökning och fullständig genomsökning körs inte på sju dagar. |
| Förutsättningar för att få rekommendationen | En lösning mot skadlig kod på plats | En identifiering och åtgärd på slutpunkt lösning på plats. |
Vilka rekommendationer är inaktuella?
I följande tabell sammanfattas tidsplanen för rekommendationer som är inaktuella och ersatta.
| Rekommendation | Handläggare | Resurser som stöds | Utfasningsdatum | Ersättningsrekommendations |
|---|---|---|---|---|
| Slutpunktsskydd ska installeras på dina datorer (offentligt) | MMA/AMA | Azure och icke-Azure (Windows & Linux) | Mars 2024 | Ny rekommendation utan agent |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer (offentliga) | MMA/AMA | Azure (Windows) | Mars 2024 | Ny rekommendation utan agent |
| Hälsofel för slutpunktsskydd på vm-skalningsuppsättningar bör lösas | MMA | Skalningsuppsättningar för virtuella Microsoft Azure-datorer | Augusti 2024 | Ingen ersättning |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | MMA | Skalningsuppsättningar för virtuella Microsoft Azure-datorer | Augusti 2024 | Ingen ersättning |
| Slutpunktsskyddslösningen ska finnas på datorer | MMA | Icke-Azure-resurser (Windows) | Augusti 2024 | Ingen ersättning |
| Installera slutpunktsskyddslösning på dina datorer | MMA | Azure och icke-Azure (Windows) | Augusti 2024 | Ny rekommendation utan agent |
| Problem med slutpunktsskyddshälsa på datorer bör lösas | MMA | Azure och icke-Azure (Windows och Linux) | Augusti 2024 | Ny rekommendation utan agent. |
Den nya rekommendationsupplevelsen som baseras på agentlös maskingenomsökning stöder både Windows- och Linux-operativsystem på flera datorer.
Hur fungerar ersättningen?
- Aktuella rekommendationer från Log Analytics-agenten eller AMA kommer att bli inaktuella över tid.
- Några av dessa befintliga rekommendationer kommer att ersättas av nya rekommendationer baserat på agentlös maskingenomsökning.
- Rekommendationer för närvarande i GA finns kvar tills Log Analytics-agenten går i pension.
- Rekommendationer som för närvarande är i förhandsversion kommer att ersättas när den nya rekommendationen är tillgänglig i förhandsversionen.
Vad händer med säker poäng?
- Rekommendationer som för närvarande är i GA kommer att fortsätta att påverka säker poäng.
- Aktuella och kommande nya rekommendationer finns under samma Microsoft Cloud Security Benchmark-kontroll, vilket säkerställer att det inte finns någon duplicerad inverkan på säkerhetspoängen.
Hur gör jag för att förbereda för de nya rekommendationerna?
- Kontrollera att agentlös datorgenomsökning är aktiverad som en del av Defender for Servers Plan 2 eller Defender CSPM.
- Om det passar din miljö rekommenderar vi att du tar bort inaktuella rekommendationer när ersättningsrekommendationerna för allmän tillgänglighet blir tillgängliga. Det gör du genom att inaktivera rekommendationen i det inbyggda Defender för molnet-initiativet i Azure Policy.
Förbereda Defender för SQL på datorer
Du kan lära dig mer om Defender för SQL Server på datorernas Utfasningsplan för Log Analytics-agenten.
Om du använder den aktuella processen för automatisk avetablering av Log Analytics-agenten/Azure Monitor-agenten bör du migrera till den nya Azure Monitoring Agent för SQL Server på datorernas automatiska etableringsprocess. Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Migrera till den SQL-serverriktade AMA-processen för automatisk avetablering
Logga in på Azure-portalen.
Sök efter och välj Microsoft Defender för molnet.
På menyn Defender för molnet väljer du Miljöinställningar.
Välj relevant prenumeration.
Under planen Databaser väljer du Åtgärd krävs.
I popup-fönstret väljer du Aktivera.
Välj Spara.
När den SQL-serverriktade AMA-processen för automatisk avetablering har aktiverats bör du inaktivera log analytics-agenten/automatisk konfiguration av Azure Monitor-agenten och avinstallera MMA på alla SQL-servrar:
Så här inaktiverar du Log Analytics-agenten:
Logga in på Azure-portalen.
Sök efter och välj Microsoft Defender för molnet.
På menyn Defender för molnet väljer du Miljöinställningar.
Välj relevant prenumeration.
Under databasplanen väljer du Inställningar.
Växla Log Analytics-agenten till Av.
Välj Fortsätt.
Välj Spara.
Migreringsplanering
Vi rekommenderar att du planerar agentmigrering i enlighet med dina affärskrav. Tabellen sammanfattar vår vägledning.
| Använder du Defender för servrar? | Krävs dessa Defender for Servers-funktioner i GA: övervakning av filintegritet, rekommendationer för slutpunktsskydd, säkerhetsbaslinjerekommendationer? | Använder du Defender för SQL-servrar på datorer eller AMA-loggsamling? | Migreringsplan |
|---|---|---|---|
| Ja | Ja | Nej | 1. Aktivera Defender för Endpoint-integrering och agentlös datorgenomsökning. 2. Vänta på GA för alla funktioner med alternativets plattform (du kan använda förhandsversionen tidigare). 3. När funktionerna är allmänt tillgängliga inaktiverar du Log Analytics-agenten. |
| Nej | --- | Nej | Du kan ta bort Log Analytics-agenten nu. |
| Nej | --- | Ja | 1. Du kan migrera till sql autoprovisioning för AMA nu. 2. Inaktivera Log Analytics/Azure Monitor Agent. |
| Ja | Ja | Ja | 1. Aktivera Defender för Endpoint-integrering och agentlös datorgenomsökning. 2. Du kan använda Log Analytics-agenten och AMA sida vid sida för att hämta alla funktioner i GA. Läs mer om att köra agenter sida vid sida. 3. Migrera till sql autoprovisioning för AMA i Defender för SQL på datorer. Du kan också starta migreringen från Log Analytics-agenten till AMA i april 2024. 4. När migreringen är klar inaktiverar du Log Analytics-agenten. |
| Ja | No | Ja | 1. Aktivera Defender för Endpoint-integrering och agentlös datorgenomsökning. 2. Du kan nu migrera till sql autoprovisioning för AMA i Defender för SQL på datorer. 3. Inaktivera Log Analytics-agenten. |