Microsoft Sentinel 的 AMA 移轉
本文說明當您有現有的Log Analytics代理程式 (MMA/OMS),且正在使用 Microsoft Sentinel 時,移轉至 Azure 監視器代理程式 (AMA)。
重要
Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始規劃移轉至 AMA。
必要條件
從 Azure 監視器檔開始,提供此移轉程式的代理程式比較和一般資訊。
本文提供 Microsoft Sentinel 的特定詳細數據和差異。
代理程式之間的差距分析
下表顯示目前依賴 Microsoft Sentinel 代理程序數據收集之記錄類型的差距分析。 隨著 AMA 支援成長為與 Log Analytics 代理程式的同位,這會更新。
Windows 記錄
記錄類型/ 支援 | Azure 監視器代理程序支援 | Log Analytics 代理程序支援 |
---|---|---|
安全性事件 | Windows 安全性 事件數據連接器 | Windows 安全性 事件資料連接器 (舊版) |
依安全性事件標識碼進行篩選 | Windows 安全性 事件資料連接器 (AMA) | - |
依事件標識碼篩選 | 僅限集合 | - |
Windows 事件轉送 | Windows 轉送事件 | - |
Windows 防火牆記錄 | - | Windows 防火牆數據連接器 |
效能計數器 | 僅限集合 | 僅限集合 |
Windows (系統) 事件記錄檔 | 僅限集合 | 僅限集合 |
自訂記錄 (文字) | 僅限集合 | 僅限集合 |
IIS 記錄 | 僅限集合 | 僅限集合 |
多路連接 | 僅限集合 | 僅限集合 |
應用程式和服務記錄 | 僅限集合 | 僅限集合 |
Sysmon | 僅限集合 | 僅限集合 |
DNS 記錄 | 透過 AMA 連接器 的 Windows DNS 伺服器 (公開預覽) | Windows DNS Server 連接器 (公開預覽) |
重要
Azure 監視器代理程式提供比舊版 Log Analytics 代理程式更好的輸送量 25%。 遷移至新的 AMA 連接器以取得更高的效能,特別是當您使用伺服器作為 Windows 安全性事件或轉送事件的記錄轉寄站時。
Linux 記錄
記錄類型/ 支援 | Azure 監視器代理程序支援 | Log Analytics 代理程序支援 |
---|---|---|
Syslog | 僅限集合 | Syslog 資料連接器 |
通用事件格式 (CEF) | 透過 AMA 資料連接器的 CEF | CEF 資料連接器 |
Sysmon | 僅限集合 | 僅限集合 |
自訂記錄 (文字) | 僅限集合 | 僅限集合 |
多路連接 | 僅限集合 | - |
建議的移轉計劃
每個組織都會有不同的成功計量和內部移轉程式。 本節提供從 Log Analytics MMA/OMS 代理程式移轉至 AMA 時所要考慮的建議指引,特別是 Microsoft Sentinel。
在您的移轉程式中包含下列步驟:
執行概念證明,以測試 AMA 如何將數據傳送至 Microsoft Sentinel,在開發或沙盒環境中理想情況下。
若要將 Windows 機器連線到 Windows 安全性 事件連接器,請從 Microsoft Sentinel 中的 AMA 數據連接器頁面開始 Windows 安全性 事件。 如需詳細資訊,請參閱 Windows 代理程式型連線。
移至 [透過舊版代理程序 數據連接器的安全性事件] 頁面。 在 [指示] 索引標籤的 [設定>步驟 2] 底下,選取要串流的事件,選取 [無]。 這會設定您的系統,讓您不會透過 MMA/OMS 接收任何安全性事件,但依賴此代理程式的其他資料源將會繼續運作。 此步驟會影響向目前Log Analytics工作區報告的所有機器。
重要
使用兩種不同類型的代理程式從相同來源擷取數據,會導致 Microsoft Sentinel 工作區中的雙重擷取費用和重複事件。
如果您需要同時讓這兩個數據連接器同時執行,建議您只在基準檢驗或測試比較活動的時間有限的情況下,在個別的測試工作區中執行。
測量概念證明的成功。
若要協助進行此步驟,請使用 AMA 移轉追蹤器 活頁簿,此活頁簿會顯示向工作區報告的伺服器,以及它們是否已安裝舊版 MMA、AMA 或兩個代理程式。 您也可以使用此活頁簿來檢視從計算機收集事件的 DCR,以及要收集的事件。
例如:
成功準則應包含 MMA/OMS 和 AMA 代理程式在相同主機上內嵌的量化數據統計分析和比較:
在預先定義的時段內測量您的成功,代表您環境的一般工作負載。
在測試時,請務必測試 AMA 所提供的每個新功能,例如 Linux 多路連接、Windows 事件篩選等等。
根據組織的風險配置檔和變更程式,規劃生產環境中 AMA 代理程式的推出。
在您的生產環境中推出新的代理程式,並執行 AMA 功能的最終測試。
中斷任何依賴舊版連接器的數據連接器,例如使用 MMA 的安全性事件。 讓新的連接器保持執行,例如 Windows 安全性 AMA 的事件。
雖然您可以同時讓舊版 MMA/OMS 和 AMA 代理程式平行執行,但請確定每個數據源只使用一個代理程式將數據傳送至 Microsoft Sentinel,以避免重複的成本和數據。
請檢查您的 Microsoft Sentinel 工作區,以確定所有數據流都已使用新的 AMA 型連接器來取代。
卸載舊版代理程式。 如需詳細資訊,請參閱 管理 Azure Log Analytics 代理程式 。
常見問題集
下列常見問題可解決使用 Microsoft Sentinel 進行 AMA 移轉的特定問題。 如需詳細資訊,請參閱 Azure 監視器檔中的 AMA 移 轉常見問題和 Azure 監視器代理 程式的常見問題。
如果我在 Microsoft Sentinel 部署中以平行方式執行 MMA/OMS 和 AMA,會發生什麼事?
AMA 和 MMA/OMS 代理程式可以共存於同一部電腦上。 如果兩者同時從相同的數據源傳送數據到 Microsoft Sentinel 工作區,則會從單一主機傳送重複事件和雙重擷取費用。
針對生產推出,建議您為每個數據源設定 MMA/OMS 代理程式或 AMA。 若要解決任何重複問題,請參閱 Azure 監視器檔中的相關常見問題。
AMA 還沒有我的 Microsoft Sentinel 部署需要運作的功能。 我是否應該移轉?
舊版 Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。
建議您隨時掌握隨著時間而針對 AMA 發行的新功能,因為它接近 MMA/OMS 的同位。 只要您需要執行 Microsoft Sentinel 部署的功能,就可以在 AMA 中立即移轉。
雖然您可以同時執行 MMA 和 AMA,但您可能會想要一次移轉每個連接器,同時執行這兩個代理程式。
下一步
如需詳細資訊,請參閱