Migrazione dell'agente di Monitoraggio di Azure per Microsoft Sentinel

Questo articolo descrive il processo di migrazione all'agente di Monitoraggio di Azure quando si dispone di un agente di Log Analytics legacy (MMA/OMS) esistente e si lavora con Microsoft Sentinel.

L'agente di Log Analytics viene ritirato a partire dal 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile eseguire la migrazione all'ama.

Prerequisiti

• Iniziare con la documentazione di Monitoraggio di Azure, che fornisce un confronto tra agenti e informazioni generali per questo processo di migrazione. Questo articolo fornisce dettagli e differenze specifici per Microsoft Sentinel.

Eseguire la migrazione all'agente di Monitoraggio di Azure

Ogni organizzazione avrà metriche diverse per i processi di migrazione interni e riusciti. Questa sezione fornisce indicazioni suggerite da considerare durante la migrazione dall'agente MMA/OMS di Log Analytics all'ama, in particolare per Microsoft Sentinel.

Includere i passaggi seguenti nel processo di migrazione:

1. Assicurarsi di aver esaminato i prerequisiti necessari e altre considerazioni, come documentato nella documentazione di Monitoraggio di Azure. Per altre informazioni, vedere Prima di iniziare.

2. Eseguire un modello di verifica per testare il modo in cui l'ama invia i dati a Microsoft Sentinel, idealmente in un ambiente di sviluppo o sandbox.

   1. In Microsoft Sentinel installare la soluzione eventi Sicurezza di Windows Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

   2. Per connettere i computer Windows al connettore eventi Sicurezza di Windows, iniziare con la pagina Sicurezza di Windows Eventi tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Connessioni basate su agente Windows.

   3. Continuare con la pagina Eventi di sicurezza tramite il connettore dati dell'agente legacy. Nella scheda Istruzioni, in Passaggio di configurazione>2>Selezionare gli eventi da trasmettere selezionare Nessuno. In questo modo il sistema viene configurato in modo che non si ricevano eventi di sicurezza tramite MMA/OMS, ma altre origini dati che si basano su questo agente continueranno a funzionare. Questo passaggio influisce su tutti i computer che segnalano all'area di lavoro Log Analytics corrente.

   Importante

   L'inserimento di dati dalla stessa origine usando due tipi diversi di agenti comporterà addebiti per l'inserimento doppio e eventi duplicati nell'area di lavoro di Microsoft Sentinel.

   Se è necessario mantenere entrambi i connettori dati in esecuzione contemporaneamente, è consigliabile farlo solo per un periodo di tempo limitato per un'attività di benchmarking o di confronto dei test, idealmente in un'area di lavoro di test separata.

3. Misurare il successo del modello di verifica.

   Per semplificare questo passaggio, usare la cartella di lavoro di Gestione migrazione ama, che visualizza i server che segnalano alle aree di lavoro e se hanno l'MMA legacy, l'AMA o entrambi gli agenti installati. È anche possibile usare questa cartella di lavoro per visualizzare i controller di dominio che raccolgono eventi dai computer e quali eventi raccolgono.

   Assicurarsi di selezionare la sottoscrizione e il gruppo di risorse nella parte superiore della cartella di lavoro per visualizzare i dati per l'ambiente. Ad esempio:

   

   Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.

   I criteri di esito positivo devono includere un'analisi statistica e un confronto dei dati quantitativi inseriti dagli agenti MMA/OMS e AMA nello stesso host:

   • Misurare il successo in un periodo di tempo predefinito che rappresenta un carico di lavoro normale per l'ambiente.

   • Durante i test, assicurarsi di testare ogni nuova funzionalità fornita dall'AMA, ad esempio multihoming Linux, filtro eventi di Windows e così via.

   • Pianificare l'implementazione degli agenti AMA nell'ambiente di produzione in base al profilo di rischio e ai processi di modifica dell'organizzazione.

4. Implementare il nuovo agente nell'ambiente di produzione ed eseguire un test finale della funzionalità AMA.

5. Disconnettere tutti i connettori dati che si basano sul connettore legacy, ad esempio Eventi di sicurezza con MMA. Lasciare il nuovo connettore, ad esempio Sicurezza di Windows Eventi con AMA, in esecuzione.

   Anche se è possibile avere sia gli agenti MMA/OMS legacy che gli agenti AMA in esecuzione in parallelo, evitare costi e dati duplicati assicurandosi che ogni origine dati usi un solo agente per inviare dati a Microsoft Sentinel.

6. Controllare l'area di lavoro di Microsoft Sentinel per assicurarsi che tutti i flussi di dati siano stati sostituiti usando i nuovi connettori basati su AMA.

7. Disinstallare l'agente legacy. Per altre informazioni, vedere Gestire l'agente di Azure Log Analytics.

Per l'implementazione di produzione, è consigliabile configurare l'ama per ogni origine dati. Per risolvere eventuali problemi di duplicazione, vedere le domande frequenti pertinenti nella documentazione di Monitoraggio di Azure.

Contenuto correlato

Per altre informazioni, vedi:

• Panoramica degli agenti di Monitoraggio di Azure
• Eseguire la migrazione dagli agenti di Log Analytics
• Connessioni basate su agente Windows