Migracja usługi AMA dla usługi Microsoft Sentinel

W tym artykule opisano proces migracji do agenta usługi Azure Monitor (AMA), gdy masz istniejącego starszego agenta usługi Log Analytics (MMA/OMS) i pracujesz z usługą Microsoft Sentinel.

Agent usługi Log Analytics został wycofany z dnia 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy przeprowadzenie migracji do usługi AMA.

Wymagania wstępne

• Zacznij od dokumentacji usługi Azure Monitor, która zawiera porównanie agentów i ogólne informacje dotyczące tego procesu migracji. Ten artykuł zawiera szczegółowe informacje i różnice dotyczące usługi Microsoft Sentinel.

Migracja do agenta usługi Azure Monitor

Każda organizacja będzie miała różne metryki dotyczące powodzenia i wewnętrznych procesów migracji. Ta sekcja zawiera sugerowane wskazówki, które należy wziąć pod uwagę podczas migracji z agenta MMA/OMS usługi Log Analytics do usługi AMA, szczególnie w przypadku usługi Microsoft Sentinel.

W procesie migracji uwzględnij następujące kroki:

1. Upewnij się, że zapoznano się z wymaganymi wymaganiami wstępnymi i innymi zagadnieniami, jak opisano w dokumentacji usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Przed rozpoczęciem.

2. Uruchom weryfikację koncepcji, aby sprawdzić, jak usługa AMA wysyła dane do usługi Microsoft Sentinel, najlepiej w środowisku projektowym lub piaskownicy.

   1. W usłudze Microsoft Sentinel zainstaluj rozwiązanie Zabezpieczenia Windows Events Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

   2. Aby połączyć maszyny z systemem Windows z łącznikiem zdarzeń Zabezpieczenia Windows, zacznij od strony zdarzeń Zabezpieczenia Windows za pośrednictwem łącznika danych usługi AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Połączenia oparte na agencie systemu Windows.

   3. Kontynuuj pracę ze zdarzeniami zabezpieczeń za pośrednictwem strony starszego łącznika danych agenta . Na karcie Instrukcje w obszarze Konfiguracja>Krok 2>Wybierz zdarzenia do przesyłania strumieniowego wybierz pozycję Brak. Spowoduje to skonfigurowanie systemu tak, aby nie otrzymywać żadnych zdarzeń zabezpieczeń za pośrednictwem programu MMA/OMS, ale inne źródła danych oparte na tym agencie będą nadal działać. Ten krok ma wpływ na wszystkie maszyny raportujące bieżący obszar roboczy usługi Log Analytics.

   Ważne

   Pozyskiwanie danych z tego samego źródła przy użyciu dwóch różnych typów agentów spowoduje podwójne opłaty za pozyskiwanie i zduplikowane zdarzenia w obszarze roboczym usługi Microsoft Sentinel.

   Jeśli chcesz zachować jednocześnie uruchomione oba łączniki danych, zalecamy wykonanie tej czynności tylko przez ograniczony czas dla testu porównawczego lub działania porównania testów, najlepiej w osobnym obszarze roboczym testowym.

3. Zmierz powodzenie weryfikacji koncepcji.

   Aby uzyskać pomoc dotyczącą tego kroku, użyj skoroszytu monitora migracji usługi AMA, który wyświetla serwery raportowania do obszarów roboczych oraz czy mają zainstalowane starsze programy MMA, AMA lub obaj agenci. Możesz również użyć tego skoroszytu, aby wyświetlić kontrolery domeny zbierające zdarzenia z maszyn oraz zdarzenia, które zbierają.

   Pamiętaj, aby wybrać subskrypcję i grupę zasobów w górnej części skoroszytu, aby wyświetlić dane dla środowiska. Na przykład:

   

   Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.

   Kryteria sukcesu powinny obejmować analizę statystyczną i porównanie danych ilościowych pozyskanych przez agentów MMA/OMS i AMA na tym samym hoście:

   • Zmierz powodzenie w wstępnie zdefiniowanym okresie, który reprezentuje normalne obciążenie dla danego środowiska.

   • Podczas testowania należy przetestować każdą nową funkcję udostępnioną przez usługę AMA, taką jak multi-homing systemu Linux, filtrowanie zdarzeń systemu Windows itd.

   • Zaplanuj wdrożenie agentów usługi AMA w środowisku produkcyjnym zgodnie z profilem ryzyka organizacji i procesami zmiany.

4. Wdaj nowego agenta w środowisku produkcyjnym i uruchom końcowy test funkcjonalności usługi AMA.

5. Odłącz wszystkie łączniki danych, które korzystają ze starszego łącznika, takie jak zdarzenia zabezpieczeń z mma. Pozostaw nowy łącznik, taki jak zdarzenia Zabezpieczenia Windows z usługą AMA, uruchomiony.

   Mimo że starsze agenty MMA/OMS i AMA działają równolegle, zapobiegaj zduplikowaniu kosztów i danych, upewniając się, że każde źródło danych używa tylko jednego agenta do wysyłania danych do usługi Microsoft Sentinel.

6. Sprawdź obszar roboczy usługi Microsoft Sentinel, aby upewnić się, że wszystkie strumienie danych zostały zastąpione przy użyciu nowych łączników opartych na usłudze AMA.

7. Odinstaluj starszego agenta. Aby uzyskać więcej informacji, zobacz Zarządzanie agentem usługi Azure Log Analytics.

W przypadku wdrożenia produkcyjnego zalecamy skonfigurowanie usługi AMA dla każdego źródła danych. Aby rozwiązać wszelkie problemy dotyczące duplikowania, zapoznaj się z odpowiednimi często zadawanymi pytaniami w dokumentacji usługi Azure Monitor.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

• Omówienie agentów usługi Azure Monitor
• Migrowanie z agentów usługi Log Analytics
• Połączenia oparte na agencie systemu Windows