AMA-migrering för Microsoft Sentinel
Den här artikeln beskriver migreringsprocessen till Azure Monitor Agent (AMA) när du har en befintlig Log Analytics-agent (MMA/OMS) och arbetar med Microsoft Sentinel.
Viktigt!
Log Analytics-agenten dras tillbaka den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du börjar planera migreringen till AMA.
Förutsättningar
Börja med Azure Monitor-dokumentationen som tillhandahåller en agentjämförelse och allmän information för den här migreringsprocessen.
Den här artikeln innehåller specifik information och skillnader för Microsoft Sentinel.
Gapanalys mellan agenter
Följande tabeller visar gapanalyser för de loggtyper som för närvarande är beroende av agentbaserad datainsamling för Microsoft Sentinel. Detta uppdateras när stödet för AMA växer mot paritet med Log Analytics-agenten.
Windows-loggar
| Loggtyp/support | Stöd för Azure Monitor-agent | Stöd för Log Analytics-agent |
|---|---|---|
| Säkerhetshändelser | Windows-säkerhet-händelsedataanslutning | Windows-säkerhet Händelsedataanslutning (äldre) |
| Filtrering efter säkerhetshändelse-ID | Windows-säkerhet Events Data Connector (AMA) | - |
| Filtrera efter händelse-ID | Endast samling | - |
| Vidarebefordran av Windows-händelser | Vidarebefordrade händelser i Windows | - |
| Windows-brandväggsloggar | - | Dataanslutning för Windows-brandväggen |
| Prestandaräknare | Endast samling | Endast samling |
| Windows-händelseloggar (system) | Endast samling | Endast samling |
| Anpassade loggar (text) | Endast samling | Endast samling |
| IIS-loggar | Endast samling | Endast samling |
| Multi-homing | Endast samling | Endast samling |
| Program- och tjänstloggar | Endast samling | Endast samling |
| Sysmon | Endast samling | Endast samling |
| DNS-loggar | Windows DNS-servrar via AMA-anslutningsprogram (offentlig förhandsversion) | Windows DNS Server-anslutningsprogram (offentlig förhandsversion) |
Viktigt!
Azure Monitor-agenten tillhandahåller ett dataflöde som är 25 % bättre än äldre Log Analytics-agenter. Migrera till de nya AMA-anslutningsprogrammen för att få högre prestanda, särskilt om du använder dina servrar som loggvidare för Windows-säkerhetshändelser eller vidarebefordrade händelser.
Linux-loggar
| Loggtyp/support | Stöd för Azure Monitor-agent | Stöd för Log Analytics-agent |
|---|---|---|
| Syslog | Endast samling | Syslog-dataanslutning |
| Common Event Format (CEF) | CEF via AMA-dataanslutning | CEF-dataanslutning |
| Sysmon | Endast samling | Endast samling |
| Anpassade loggar (text) | Endast samling | Endast samling |
| Multi-homing | Endast samling | - |
Rekommenderad migreringsplan
Varje organisation har olika mått för lyckade och interna migreringsprocesser. Det här avsnittet innehåller förslag på vägledning när du migrerar från Log Analytics MMA/OMS-agenten till AMA, särskilt för Microsoft Sentinel.
Inkludera följande steg i migreringsprocessen:
Kontrollera att du har granskat nödvändiga förutsättningar och andra överväganden som beskrivs här i Azure Monitor-dokumentationen.
Kör ett konceptbevis för att testa hur AMA skickar data till Microsoft Sentinel, helst i en utvecklings- eller sandbox-miljö.
Om du vill ansluta dina Windows-datorer till Windows-säkerhet Händelseanslutningsappen börjar du med sidan Windows-säkerhet Händelser via AMA-dataanslutning i Microsoft Sentinel. Mer information finns i Windows-agentbaserade anslutningar.
Gå till sidan Säkerhetshändelser via äldre agentdataanslutning . Välj Inga under Konfiguration> steg 2 på fliken Instruktioner. Välj vilka händelser som ska strömmas. Detta konfigurerar systemet så att du inte får några säkerhetshändelser via MMA/OMS, men andra datakällor som förlitar sig på den här agenten fortsätter att fungera. Det här steget påverkar alla datorer som rapporterar till din aktuella Log Analytics-arbetsyta.
Viktigt!
Inmatning av data från samma källa med hjälp av två olika typer av agenter resulterar i dubbla inmatningsavgifter och duplicerade händelser på Microsoft Sentinel-arbetsytan.
Om du behöver hålla båda dataanslutningarna igång samtidigt rekommenderar vi att du bara gör det under en begränsad tid för en benchmarking eller testjämförelseaktivitet, helst i en separat testarbetsyta.
Mät framgångarna för ditt konceptbevis.
För att hjälpa till med det här steget använder du arbetsboken för AMA-migreringsspårare , som visar servrarna som rapporterar till dina arbetsytor, och om de har den äldre MMA, AMA eller båda agenterna installerade. Du kan också använda den här arbetsboken för att visa dcrs som samlar in händelser från dina datorer och vilka händelser de samlar in.
Till exempel:
Framgångskriterierna bör innehålla en statistisk analys och jämförelse av de kvantitativa data som matas in av MMA/OMS- och AMA-agenterna på samma värd:
Mät din framgång under en fördefinierad tidsperiod som representerar en normal arbetsbelastning för din miljö.
När du testar bör du testa varje ny funktion som tillhandahålls av AMA, till exempel Linux multi-homing, Windows-händelsefiltrering och så vidare.
Planera distributionen för AMA-agenter i produktionsmiljön enligt organisationens riskprofil och förändringsprocesser.
Distribuera den nya agenten i produktionsmiljön och kör ett sista test av AMA-funktionerna.
Koppla från alla dataanslutningar som förlitar sig på den äldre anslutningsappen, till exempel Säkerhetshändelser med MMA. Låt den nya anslutningsappen, till exempel Windows-säkerhet Händelser med AMA, vara igång.
Du kan ha både äldre MMA/OMS och AMA-agenterna igång parallellt, men förhindra dubbla kostnader och data genom att se till att varje datakälla endast använder en agent för att skicka data till Microsoft Sentinel.
Kontrollera din Microsoft Sentinel-arbetsyta för att se till att alla dina dataströmmar har ersatts med hjälp av de nya AMA-baserade anslutningsprogrammen.
Avinstallera den äldre agenten. Mer information finns i Hantera Azure Log Analytics-agenten .
Vanliga frågor och svar
Följande vanliga frågor och svar löser problem som är specifika för AMA-migrering med Microsoft Sentinel. Mer information finns i vanliga frågor och svar om AMA-migrering och vanliga frågor och svar om Azure Monitor Agent i Azure Monitor-dokumentationen.
Vad händer om jag kör både MMA/OMS och AMA parallellt i min Microsoft Sentinel-distribution?
Både AMA- och MMA/OMS-agenterna kan samexistera på samma dator. Om båda skickar data, från samma datakälla till en Microsoft Sentinel-arbetsyta, på samma gång, från en enda värd, sker dubbla händelser och dubbla inmatningsavgifter.
För produktionsdistributionen rekommenderar vi att du konfigurerar antingen en MMA/OMS-agent eller AMA för varje datakälla. Information om hur du åtgärdar eventuella problem med duplicering finns i relevanta vanliga frågor och svar i Azure Monitor-dokumentationen.
AMA har ännu inte de funktioner som min Microsoft Sentinel-distribution behöver för att fungera. Ska jag migrera ännu?
Den äldre Log Analytics-agenten dras tillbaka den 31 augusti 2024.
Vi rekommenderar att du håller dig uppdaterad med de nya funktionerna som släpps för AMA över tid, eftersom det når mot paritet med MMA/OMS. Sträva efter att migrera så snart de funktioner du behöver för att köra din Microsoft Sentinel-distribution är tillgängliga i AMA.
Du kan köra MMA och AMA samtidigt, men du kanske vill migrera varje anslutningsapp, en i taget, medan du kör båda agenterna.
Nästa steg
Mer information finns i: