Microsoft Sentinel 的 AMA 移轉

本文說明當您有現有的舊版 Log Analytics 代理程式 （MMA/OMS），且使用 Microsoft Sentinel 時，移轉至 Azure 監視器代理程式 （AMA）。

自 2024 年 8 月 31 日起，Log Analytics 代理程式已淘汰。 如果您在Microsoft Sentinel 部署中使用Log Analytics代理程式，建議您移轉至 AMA。

必要條件

• 從 Azure 監視器檔開始，提供此移轉程式的代理程式比較和一般資訊。 本文提供 sentinel Microsoft 的特定詳細數據和差異。

移轉至 Azure 監視器代理程式

每個組織都會有不同的成功計量和內部移轉程式。 本節提供從 Log Analytics MMA/OMS 代理程式移轉至 AMA 時所要考慮的建議指引，特別是針對 sentinel Microsoft。

在您的移轉程式中包含下列步驟：

1. 請確定您已檢閱必要的必要條件和其他考慮，如 Azure 監視器檔中所述。 如需詳細資訊，請參閱 開始之前。

2. 執行概念證明，以測試 AMA 如何在開發或沙箱環境中將數據傳送至Microsoft Sentinel。

   1. 在 Microsoft Sentinel 中，安裝 Windows 安全性 Events Microsoft Sentinel 解決方案。 如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成可用的內容。

   2. 若要將 Windows 機器連線到 Windows 安全性 事件連接器，請從 Microsoft Sentinel 中的 [透過 AMA 資料連接器] 頁面開始 Windows 安全性 事件。 如需詳細資訊，請參閱 Windows 代理程式型連線。

   3. 繼續透過 舊版代理程式 數據連接器頁面的安全性事件。 在 [指示] 索引標籤的 [設定>步驟 2>選取要串流的事件] 底下，選取 [無]。 這會設定您的系統，讓您不會透過 MMA/OMS 接收任何安全性事件，但依賴此代理程式的其他資料源將會繼續運作。 此步驟會影響向目前Log Analytics工作區報告的所有機器。

   重要

   使用兩種不同類型的代理程式從相同來源擷取數據，會導致Microsoft Sentinel 工作區中的雙重擷取費用和重複事件。

   如果您需要同時讓這兩個數據連接器同時執行，建議您只在基準檢驗或測試比較活動的時間有限的情況下，在個別的測試工作區中執行。

3. 測量概念證明的成功。

   若要協助進行此步驟，請使用 AMA 移轉追蹤器 活頁簿，此活頁簿會顯示向工作區報告的伺服器，以及它們是否已安裝舊版 MMA、AMA 或兩個代理程式。 您也可以使用此活頁簿來檢視從計算機收集事件的 DCR，以及要收集的事件。

   請務必選取活頁簿頂端的訂用帳戶和資源群組，以顯示您環境的數據。 例如：

   

   如需詳細資訊，請參閱在 Microsoft Sentinel 中使用活頁簿將您的資料視覺化並加以監視。

   成功準則應包含 MMA/OMS 和 AMA 代理程式在相同主機上內嵌的量化數據統計分析和比較：

   • 在預先定義的時段內測量您的成功，代表您環境的一般工作負載。

   • 在測試時，請務必測試 AMA 所提供的每個新功能，例如 Linux 多路連接、Windows 事件篩選等等。

   • 根據組織的風險配置檔和變更程式，規劃生產環境中 AMA 代理程式的推出。

4. 在您的生產環境中推出新的代理程式，並執行 AMA 功能的最終測試。

5. 中斷任何依賴舊版連接器的數據連接器，例如使用 MMA 的安全性事件。 讓新的連接器保持執行，例如 Windows 安全性 AMA 的事件。

   雖然您可以同時讓舊版 MMA/OMS 和 AMA 代理程式平行執行，但請確定每個數據源只使用一個代理程式將數據傳送至 sentinel Microsoft，以避免重複的成本和數據。

6. 請檢查您的Microsoft Sentinel 工作區，以確定所有數據流都已使用新的 AMA 型連接器來取代。

7. 卸載舊版代理程式。 如需詳細資訊，請參閱 管理 Azure Log Analytics 代理程式。

針對生產推出，建議您為每個數據源設定 AMA。 若要解決任何重複問題，請參閱 Azure 監視器檔中的相關常見問題。

相關內容

如需詳細資訊，請參閱

• Azure 監視器代理程式概觀
• 從 Log Analytics 代理程式移轉
• Windows 代理程式型連線