準備淘汰 Log Analytics 代理程式
Log Analytics 代理程式也稱為 Microsoft Monitoring Agent (MMA),將於 2024 年 11 月淘汰。 因此,適用於雲端的 Microsoft Defender 中的適用於伺服器的 Defender 和適用於 SQL 機器的 Defender 方案將會更新,並重新設計依賴 Log Analytics 代理程式的功能。
本文摘要說明代理程式淘汰的規劃。
準備適用於伺服器的 Defender
適用於伺服器的 Defender 方案會使用正式推出 (GA) 的 Log Analytics 代理程式,並針對某些功能採用 AMA 中的 Log Analytics 代理程式 (預覽版)。 這些功能將進行下列變化:
為了簡化上線,所有適用於伺服器的 Defender 安全性特性和功能都會由單一代理程式 (適用於端點的 Microsoft Defender) 提供,並由無代理程式機器掃描輔助,而完全不需要依賴 Log Analytics 代理程式或 AMA。
- 適用於伺服器的 Defender 功能 (以 AMA 為基礎) 目前處於預覽狀態,且將不會正式推出。
- 依賴 AMA 的預覽功能會持續受到支援,直到提供功能的替代版本為止,此功能將依賴適用於端點的 Defender 整合或無代理程式機器掃描功能。
- 只要在淘汰之前啟用適用於端點的 Defender 整合和無代理程式機器掃描功能,您的適用於伺服器的 Defender 部署便會是最新版本且受到支援。
特色功能
下表摘要說明如何提供適用於伺服器的 Defender 功能。 大部分的功能已使用適用於端點的 Defender 整合或無代理程式機器掃描正式推出。 其餘功能將會在 MMA 淘汰時正式推出,或是遭到淘汰。
功能 | 目前的支援 | 新的支援 | 新體驗狀態 |
---|---|---|---|
針對下層 Windows 機器 (Windows Server 2016/2012 R2) 的適用於端點的 Defender 整合 | 舊版適用於端點的 Defender 感應器 (以 Log Analytics 代理程式為基礎) | 統一代理程式整合 | - 搭配 MDE 整合代理程式的功能已正式推出。 - 搭配舊版「適用於端點的 Defender」感應器、使用 Log Analytics 代理程式的功能將於 2024 年 8 月淘汰。 |
OS 層級威脅偵測 | Log Analytics 代理程式 | 適用於端點的 Defender 代理程式整合 | 適用於端點的 Defender 代理程式的功能已正式推出。 |
自適性應用程式控制 | Log Analytics 代理程式 (GA)、AMA (預覽) | --- | 自適性應用程式控制功能計劃在 2024 年 8 月淘汰。 |
端點保護探索建議 | 使用 Log Analytics 代理程式 (GA)、AMA (預覽) 透過基礎雲端安全性態勢管理 (CSPM) 方案和適用於伺服器的 Defender 取得建議 | 無代理程式機器掃描 | - 做為適用於伺服器的 Defender 方案 2 和 Defender CSPM 方案的一部分,搭配無代理程式機器掃描的功能已於 2024 年初發行預覽版。 - 支援 Azure VM、Google Cloud Platform (GCP) 執行個體和 Amazon Web Services (AWS) 執行個體。 不支援內部部署機器。 |
遺漏 OS 更新建議 | 使用 Log Analytics 代理程式在基礎 CSPM 和適用於伺服器的 Defender 方案中取得建議。 | 與更新管理員、Microsoft 整合 | 以 Azure 更新管理員整合為基礎的新建議已正式推出,沒有代理程式相依性。 |
OS 設定錯誤 (Microsoft Cloud 安全性基準) | 使用 Log Analytics 代理程式、來賓設定延伸模組 (預覽) 透過基礎 CSPM 和適用於伺服器的 Defender 方案取得建議。 | 來賓設定延伸模組,做為適用於伺服器的 Defender 方案 2 的一部分。 | - 基於來賓設定延伸模組的功能將於 2024 年 9 月正式發行 - 僅限適用於雲端的 Defender 客戶:Log Analytics 代理程式的功能將於 2024 年 11 月淘汰。 - Docker-hub 和 Microsoft Azure 虛擬機器擴展集對於這項功能支援將於 2024 年 8 月淘汰。 |
檔案完整性監視 | Log Analytics 代理程式、AMA (預覽) | 適用於端點的 Defender 代理程式整合 | 適用於端點的 Defender 代理程式功能將於 2024 年 8 月推出。 - 僅限適用於雲端的 Defender 客戶:Log Analytics 代理程式的功能將於 2024 年 11 月淘汰。 - 當適用於端點的 Defender 整合推出時,搭配 AMA 的功能將會淘汰。 |
記錄分析代理程式自動佈建體驗 - 淘汰方案
在 MMA 代理程式淘汰的過程中,為 MDC 客戶提供代理程式安裝和設定的自動佈建功能也將分 2 階段淘汰:
到 2024 年 9 月底 - 將針對不再使用 MMA 的自動佈建的客戶以及新建立的訂用帳戶停用此功能:
- 現有的訂用帳戶在 9 月底後會關閉 MMA 自動佈建,將無法再啟用此功能。
- 在新建立的訂用帳戶上,無法再啟用自動佈建,並且會自動關閉。
- 到 2024 年 11 月底 - 在尚未關閉此功能的訂用帳戶上將會停用此功能。 之後,便無法再在現有的訂用帳戶上啟用此功能。
針對資料擷取的 500 MB 權益 (部分機器翻譯)
若要保留所支援資料類型的 500 MB 免費資料擷取允許額度,您需要從 MMA 遷移至 AMA。
注意
權益會授與屬於已啟用適用於伺服器的 Defender 方案 2 訂用帳戶的每個 AMA 機器。
此權益會授與機器所回報的目標工作區。
應該會在相關的工作區上安裝安全性解決方案。 在這裡深入了解執行方式。
如果機器向多個工作區報告,則只會向其中一個工作區授與權益。
深入了解如何部署 AMA。
針對機器上的 SQL 伺服器,建議您移轉至 SQL Server 目標 Azure 監視器代理程式 (AMA) 的自動佈建程序。
透過 Log Analytics 代理程式上線舊版適用於伺服器的 Defender 方案 2 的變更
根據 Log Analytics 代理程式和使用 Log Analytics 工作區,將伺服器上線至適用於伺服器的 Defender 方案 2 的舊版方法也會設定為淘汰:
使用 Log Analytics 代理程式和工作區將新的非 Azure 機器上線至適用於伺服器的 Defender 上線體驗,會從適用於雲端的 Defender 入口網站的 [清查] 和 [開始使用] 刀鋒視窗中移除。
代理程式淘汰後,若要避免在連線到 Log Analytics 工作區的受影響機器上遺失安全性涵蓋範圍:
如果您之前使用舊版方法將非 Azure 伺服器 (內部部署和多重雲端) 上線,現在應透過已啟用 Azure Arc 的伺服器將這些機器連線到適用於伺服器的 Defender 方案 2 Azure 訂用帳戶和連接器。 進一步瞭解如何大規模部署 Arc 機器。
- 如果您使用舊版方法在選取的 Azure VM 上啟用適用於伺服器的 Defender 方案 2,建議在這些機器的 Azure 訂用帳戶上啟用適用於伺服器的 Defender 方案 2。 接著,您可以使用適用於伺服器的 Defender 每個資源設定,將個別機器從適用於伺服器的 Defender 涵蓋範圍中排除。
這是透過舊版方法將每部伺服器上線到適用於伺服器的 Defender 方案 2 的必要行動摘要:
電腦類型 | 保留安全性涵蓋範圍所需採取的行動 |
---|---|
內部部署伺服器 | 已上線到 Arc,並使用適用於伺服器的 Defender 方案 2 連線到訂用帳戶 |
Azure 虛擬機器 | 使用適用於伺服器的 Defender 方案 2 連線到訂用帳戶 |
多重雲端伺服器 | 使用 Azure Arc 佈建和適用於伺服器的 Defender 方案 2 連線到多重雲端連接器 |
系統更新和修補程式建議體驗 - 變更和移轉指引
系統更新和修補程式對於保持電腦的安全性和健康狀態至關重要。 更新通常包含針對弱點的安全性修補程式,如果未修正,攻擊者會利用這些弱點。
系統更新建議先前是由適用於雲端的 Defender 基礎 CSPM 和適用於伺服器的 Defender 方案使用記錄分析代理程式所提供的。 此體驗已由使用 Azure 更新管理員 收集的安全性建議所取代,並建構出 2 個新建議:
了解如何在電腦上補救系統更新和修補程式建議。
哪些建議即將被取代?
下表摘要說明即將淘汰和取代的建議時程表。
建議 | 專員 | 支援的資源 | 取代日期 | 取代的建議 |
---|---|---|---|---|
您應在機器上安裝系統更新 | MMA | Azure 和非 Azure (Windows 和 Linux) | 2024 年 8 月 | 由 Azure 更新管理員提供的新建議 |
應在虛擬機器擴展集上安裝系統更新 | MMA | Azure 虛擬機器擴展集 | 2024 年 8 月 | 沒有取代項目 |
如何為新建議做好準備?
將非 Azure 機器連線至 Arc
請確定在電腦上啟用定期評量更新設定。 您可以透過 2 種方式來執行此動作:
- 修正建議:應該將機器設定為定期檢查是否有遺漏的系統更新 (由 Azure 更新管理員提供支援)。
- 使用 Azure 原則啟用大規模定期評量。
- 完成後,更新管理員可以擷取電腦的最新更新,而且您可以檢視最新的電腦合規性狀態。
注意
針對其相關訂用帳戶或連接器上未啟用適用於伺服器的 Defender 方案 2 之已啟用 Arc 的機器啟用定期評量,須取決於 Azure 更新管理員定價。 其相關訂用帳戶或連接器上已啟用適用於伺服器的 Defender 方案 2 之已啟用 Arc 的機器或任何 Azure VM,皆符合此功能的資格,無需額外費用。
端點保護建議體驗 - 變更和移轉指導
端點探索和建議先前由適用於雲端的 Defender 基礎 CSPM 和適用於伺服器的 Defender 方案使用記錄分析代理程式正式推出,或透過 AMA 提供預覽版。 這些體驗已由使用無代理程式機器掃描收集的安全性建議所取代。
端點保護建議由兩個階段組成。 第一個階段是探索端點偵測和回應解決方案。 第二個是評估解決方案的設定。 下表提供每個階段目前和新體驗的詳細資料。
端點偵測和回應解決方案 - 探索
區域 | 目前體驗 (以 AMA/MMA 為基礎) | 新體驗 (以無代理程式電腦掃描為基礎) |
---|---|---|
資源需具備哪些條件才能分類為狀況良好? | 具備防毒機制。 | 具備端點偵測和回應解決方案。 |
取得建議需要哪些項目? | Log Analytics 代理程式 | 無代理程式機器掃描 |
支援哪些方案? | - 基礎 CSPM (免費) - 適用於伺服器的 Defender 方案 1 和方案 2 |
- Defender CSPM - 適用於伺服器的 Defender 方案 2 |
有哪些修正程式可供使用? | 安裝 Microsoft 反惡意程式碼。 | 在所選機器/訂用帳戶上安裝適用於端點的 Defender。 |
端點偵測和回應解決方案 - 組態評估
區域 | 目前體驗 (以 AMA/MMA 為基礎) | 新體驗 (以無代理程式電腦掃描為基礎) |
---|---|---|
如果資源的一或多個安全性檢查狀況不良,則會分類為狀況不良。 | 三項安全性檢查: - 即時保護已關閉 - 簽章已過期 - 快速掃描和完整掃描皆已未執行七天 |
三項安全性檢查: - 防毒軟體已關閉或設定不完整 - 簽章已過期 - 快速掃描和完整掃描皆已未執行七天 |
取得建議的必要條件 | 具備反惡意程式碼解決方案 | 具備端點偵測和回應解決方案。 |
哪些建議將會淘汰?
下表摘要說明即將淘汰和取代的建議時程表。
建議 | 專員 | 支援的資源 | 取代日期 | 取代的建議 |
---|---|---|---|---|
您的機器上應安裝端點保護 (公用) | MMA/AMA | Azure 和非 Azure (Windows 和 Linux) | 2024 年 7 月 | 新的無代理程序建議 |
應解決機器上端點保護健康情況的問題 (公開) | MMA/AMA | Azure (Windows) | 2024 年 7 月 | 新的無代理程序建議 |
應該解決虛擬機器擴展集上的端點保護健康情況失敗 | MMA | Azure 虛擬機器擴展集 | 2024 年 8 月 | 沒有取代項目 |
應在虛擬機器擴展集上安裝端點保護解決方案 | MMA | Azure 虛擬機器擴展集 | 2024 年 8 月 | 沒有取代項目 |
機器上應該有端點保護解決方案 | MMA | 非 Azure 資源 (Windows) | 2024 年 8 月 | 沒有取代項目 |
請在您的機器上安裝 Endpoint Protection 解決方案 | MMA | Azure 和非 Azure (Windows) | 2024 年 8 月 | 新的無代理程序建議 |
應該解決機器上的端點保護健康情況問題 | MMA | Azure 和非 Azure (Windows 和 Linux) | 2024 年 8 月 | 新的無代理程序建議。 |
以無代理程式機器掃描為基礎的新建議體驗支援跨多雲端電腦的 Windows 和 Linux 作業系統。
取代的運作方式?
- Log Analytics 代理程式或 AMA 所提供的目前建議將會逐步淘汰。
- 其中一些現有的建議將會取代為根據無代理程式機器掃描的新建議。
- 目前正式推出的建議會保留到 Log Analytics 代理程式淘汰為止。
- 當預覽版中提供新的建議時,將會取代目前的預覽版建議。
安全分數會受到什麼影響?
- 目前已正式推出的建議將繼續影響安全分數。
- 目前和即將推出的新建議位於相同的 Microsoft Cloud 安全性基準控制項之下,確保安全分數不會受到重複影響。
如何為新建議做好準備?
- 請確定適用於伺服器方案的 Defender 方案 2 或 Defender CSPM 已啟用無代理程式機器掃描。
- 如果環境適用,建議在取代的正式推出建議可用時,移除已淘汰的建議以獲得最佳體驗。 若要這樣做,請在 Azure 原則內建適用於雲端的 Defender 方案中停用建議。
檔案完整性監視體驗 - 變更和移轉指導
適用於伺服器的 Microsoft Defender 方案 2 現在提供由適用於端點的 Microsoft Defender (MDE) 整合所支援的新檔案完整性監視 (FIM) 解決方案。 一旦由 MDE 所支援的 FIM 公開,適用於雲端的 Defender 入口網站中由 AMA 體驗所支援的 FIM 體驗將被移除。 在 11 月,由 MMA 所支援的 FIM 將會淘汰。
從基於 AMA 的 FIM 移轉
如果您目前使用基於 AMA 的 FIM:
從 5 月 30 日開始,您將無法再透過適用於雲端的 Defender 入口網站將新的訂閱或伺服器上線到基於 AMA 的 FIM 和變更追蹤延伸模組,以及檢視變更。
如果您想要繼續取用 AMA 所收集的 FIM 事件,您可以手動連線到相關的工作區,並使用以下查詢來檢視變更追蹤資料表中的變更:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
如果您想要繼續加入新的範圍或設定監視規則,您可以手動使用資料連線規則來設定或自訂資料收集的各個層面。
適用於雲端的 Microsoft Defender 建議停用基於 AMA 的 FIM,並在新的 FIM 版本發行時將您的環境上線至基於適用於端點的 Defender 的新 FIM 版本。
停用基於 AMA 的 FIM
若要停用基於 AMA 的 FIM,請移除 Azure 變更追蹤解決方案。 如需詳細資訊,請參閱移除變更追蹤解決方案。
或者,您可以移除相關的檔案變更追蹤資料收集規則 (DCR)。 如需詳細資訊,請參閱 Remove-AzDataCollectionRuleAssociation 或 Remove-AzDataCollectionRule。
在您使用上述其中一種方法來停用檔案事件收集之後:
- 新的事件會在選取的範圍上停止收集。
- 已收集的歷程記錄事件仍會儲存在變更追蹤區段的 ConfigurationChange 資料表底下的相關工作區中。 根據此工作區中所定義的保留期,這些事件將在相關工作區中保持可用的狀態。 如需詳細資訊,請參閱保留和封存的運作方式。
從基於 Log Analytics 代理程式 (MMA) 的 FIM 移轉
如果您目前使用基於 Log Analytics 代理程式 (MMA) 的 FIM:
基於 Log Analytics 代理程式 (MMA) 的檔案完整性監視將於 2024 年 11 月底被取代。
適用於雲端的 Microsoft Defender 建議停用基於 MMA 的 FIM,並在新的 FIM 版本發行時將您的環境上線至基於適用於端點的 Defender 的新 FIM 版本。
停用基於 MMA 的 FIM
若要停用基於 MMA 的 FIM,請移除 Azure 變更追蹤解決方案。 如需詳細資訊,請參閱移除變更追蹤解決方案。
在您停用檔案事件收集之後:
- 新的事件會在選取的範圍上停止收集。
- 已收集的歷程記錄事件仍會儲存在變更追蹤區段的 ConfigurationChange 資料表底下的相關工作區中。 根據此工作區中所定義的保留期,這些事件將在相關工作區中保持可用的狀態。 如需詳細資訊,請參閱保留和封存的運作方式。
基準體驗
VM 上基準設定錯誤功能的設計,是用來確保您的 VM 符合安全性最佳做法和組織原則。 基準設定錯誤會根據預先定義的安全性基準來評估 VM 的設定,並識別可能會對您的環境造成風險的任何偏差或設定錯誤。
機器資訊是使用 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent,MMA) 收集以進行評估。 MMA 預定將在 2024 年 11 月淘汰,而且會發生下列變更:
機器資訊將會使用 Azure 原則來賓設定來收集。
下列 Azure 原則會啟用 Azure 原則來賓設定:
「Windows 機器應符合 Azure 計算安全性基準的需求」
「Linux 機器應符合 Azure 計算安全性基準的需求」
注意
如果您移除這些原則,將無法享有 Azure 原則來賓設定延伸模組的優點。
適用於雲端的 Defender 基礎 CSPM 將不再根據計算安全性基準提供作業系統建議。 當您啟用適用於伺服器的 Defender 方案 2 時,系統將提供這類建議。
檢閱適用於雲端的 Defender 定價頁面,瞭解 Defender 伺服器方案 2 定價資訊。
重要
請注意,Azure 原則來賓設定所提供、不在適用於雲端的 Defender 入口網站上的其他功能,不會包含在適用於雲端的 Defender 中,而且應遵守 Azure 原則來賓設定定價原則。 例如補救和自訂原則。 如需詳細資訊,請參閱 Azure 原則來賓設定定價頁面。
免費基礎 CSPM 將持續提供並非根據 Windows 和 Linux 計算安全性基準做出的 MCSB 建議。
安裝 Azure 原則來賓設定
若要繼續接收基準體驗,您必須啟用適用於伺服器的 Defender 方案 2,並安裝 Azure 原則來賓設定。 如此可確保您繼續收到先前透過基準體驗接受的相同建議和強化指引。
視您的環境而定,您可能需要採取下列步驟:
在您的機器上安裝 Azure 原則來賓設定。
Azure 機器:在適用於雲端的 Defender 入口網站的建議頁面上,搜尋並選取 [應在電腦上安裝來賓設定延伸模組],然後補救建議。
(僅限 Azure VM) 您必須指派受控識別。
- 在適用於雲端的 Defender 入口網站建議頁面上,搜尋並選取 [應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組],然後補救建議。
(僅限 Azure VM) 選擇性:若要為整個訂用帳戶自動佈建 Azure 原則來賓設定,您可以啟用來賓設定代理程式 (預覽)。
- 若要啟用來賓設定代理程式:
- 登入 Azure 入口網站。
- 瀏覽至 [環境設定]>[您的訂用帳戶]>[設定 & 監視]。
- 選取 [來賓設定]。
- 將來賓設定代理程式 (預覽) 切換為 [開啟]。
- 選取 [繼續]。
- 若要啟用來賓設定代理程式:
GCP 和 AWS:當您連線 GCP 專案,或連線已啟用 Azure Arc 自動佈建的 AWS 帳戶時,系統會自動將 Azure 原則來賓設定安裝到適用於雲端的 Defender。
內部部署機器:當您將內部部署機器上線為已啟用 Azure Arc 的機器或 VM 時,預設會啟用 Azure 原則來賓設定。
完成安裝 Azure 原則來賓設定的必要步驟之後,您將根據 Azure 原則來賓設定自動取得基準功能的存取權。 如此可確保您繼續收到先前透過基準體驗接受的相同建議和強化指引。
建議的變更
隨著 MMA 的淘汰,下列 MMA 建議預定也將淘汰:
已淘汰的建議將會換成下列 Azure 原則來賓設定基準建議:
重複的建議
當您在 Azure 訂用帳戶上啟用適用於雲端的 Defender 時,Microsoft 雲端安全性基準 (MCSB) (包括評估機器作業系統合規性的計算安全性基準) 會啟用為預設合規性標準。 適用於雲端的 Defender 中的免費基礎雲端安全性狀態管理 (CSPM) 會根據 MCSB 提供安全性建議。
如果機器同時執行 MMA 和 Azure 原則來賓設定,您會看到重複的建議。 這兩種方法會同時執行並產生相同的建議,因此會發生重複的建議。 這些重複建議會影響您的合規性與安全分數。
作為解決方法,您可以流覽至 適用於雲端的 Defender 中的 [法規合規性] 頁面,停用 MMA 建議「應安全地設定機器」和「應該在訂用帳戶上啟用 Log Analytics 代理程式的自動佈建」。
找到建議之後,您應該選取相關的機器並設定豁免。
Azure 原則來賓設定工具提供的部分基準設定規則比較新,而且涵蓋範圍更廣。 因此,改用 Azure 原則來賓設定提供的基準功能可能會影響您的合規性狀態,因為其中包含先前可能未曾執行過的檢查。
查詢建議
隨著 MMA 的淘汰,適用於雲端的 Defender 不再透過 Log Analytic 工作區資訊來查詢建議。 適用於雲端的 Defender 現在改為使用 Azure Resource Graph 做為 API,並運用入口網站查詢來查詢建議資訊。
以下是您可以使用的兩項範例查詢:
查詢特定資源的所有狀況不良規則
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'
所有狀況不良的規則,以及每條規則造成的狀況不良機器數量
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
準備機器上適用於 SQL 的 Defender
您可以深入了解適用於 SQL Server 的 Defender 機器上 Log Analytics 代理程式的淘汰計劃。
如果您使用目前的 Log Analytics 代理程式/Azure 監視器代理程式自動佈建程序,您應該移轉至機器上 SQL Server 的新 Azure 監視器代理程式自動佈建程序。 移轉流程不會產生中斷,可為所有機器提供持續保護。
移轉至以 SQL 伺服器為目標的 AMA 自動佈建程序
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
在資料庫計劃底下,選取 [必要的動作]。
在彈出視窗中,選取 [啟用]。
選取 [儲存]。
啟用 SQL Server 目標 AMA 自動佈建程序之後,您應該停用 Log Analytics 代理程式/Azure 監視器代理程式自動佈建程序,並在所有 SQL 伺服器上將 MMA 解除安裝:
若要停用 Log Analytics 代理程式:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
在資料庫計劃底下,選取 [設定]。
將 Log Analytics 代理程式切換為 [關閉]。
選取繼續。
選取 [儲存]。
移轉規劃
建議您根據自身商務需求規劃代理程式移轉。 下表是我們的指引摘要。
您是否使用適用於伺服器的 Defender? | 這些適用於伺服器的 Defender 功能需要正式推出嗎:檔案完整性監視、端點保護建議、安全性基準建議? | 您是否在機器或 AMA 記錄集合上使用適用於 SQL 伺服器的 Defender? | 移轉計劃 |
---|---|---|---|
Yes | 是 | No | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.使用替代平台等候所有功能的正式推出 (您可以使用先前的預覽版)。 3.在功能正式推出後,請停用 Log Analytics 代理程式。 |
No | --- | No | 您現在可以移除 Log Analytics 代理程式。 |
No | --- | Yes | 1.您現在可以移轉至 AMA 的 SQL 自動佈建。 2.停用 Log Analytics/Azure 監視器代理程式。 |
Yes | .是 | Yes | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.您可以並存使用 Log Analytics 代理程式和 AMA 以取得正式推出的所有功能。 深入了解並行執行代理程式。 3.在機器上適用於 SQL 的 Defender 中移轉至 AMA 的 SQL 自動佈建。 或者,在 2024 年 4 月開始從 Log Analytics 代理程式移轉至 AMA。 4.移轉完成後,請停用 Log Analytics 代理程式。 |
是 | 無 | Yes | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.您現在可以在機器上適用於 SQL 的 Defender 中移轉至 AMA 的 SQL 自動佈建。 3.停用 Log Analytics 代理程式。 |
MMA 移轉體驗
MMA 移轉體驗是一種工具,可協助您從 MMA 移轉至 AMA。 此體驗提供逐步指南,可協助您將機器從 MMA 遷移至 AMA。
可以利用這個工具來:
- 透過Log Analytic工作區從舊版上線移轉伺服器。
- 請確定訂用帳戶符合所有必要條件,以接收適用於伺服器方案 2 的所有 Defender 權益。
- 透過 MDE 移轉至 FIM 的新版本。
登入 Azure 入口網站。
流覽至 適用於雲端的 Microsoft Defender> 環境設定。
選取 MMA 移轉。
針對其中一個可用的動作選取 [採取 動作]:
允許體驗載入並遵循步驟來完成移轉。