Поделиться через

Миграция AMA для Microsoft Sentinel

  • Статья

В этой статье описывается процесс миграции в агент Azure Monitor (AMA) при наличии существующего, устаревшего агента Log Analytics (MMA/OMS) и работы с Microsoft Sentinel.

Агент Log Analytics прекращен с 31 августа 2024 г. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется перенести его в AMA.

Необходимые компоненты

  • Начните с документации по Azure Monitor, которая предоставляет сравнение агентов и общие сведения для этого процесса миграции. Эта статья содержит конкретные сведения и различия для Microsoft Sentinel.

Миграция в агент Azure Monitor

У каждой организации будут собственные метрики успеха и внутренние процессы миграции. В этом разделе приведены рекомендации, которые следует учитывать при переходе с агента Log Analytics MMA/OMS на AMA, в частности для Microsoft Sentinel.

Включите в процесс миграции следующие шаги:

  1. Убедитесь, что вы ознакомились с необходимыми предварительными условиями и другими рекомендациями, как описано в документации по Azure Monitor. Дополнительные сведения см. в разделе "Перед началом работы".

  2. Выполните подтверждение концепции, чтобы проверить, как AMA отправляет данные в Microsoft Sentinel, в идеале в среде разработки или песочницы.

    1. В Microsoft Sentinel установите решение Безопасность Windows Events Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

    2. Чтобы подключить компьютеры Windows к соединителю событий Безопасность Windows, начните со страницы соединителя данных AMA в Microsoft Sentinel Безопасность Windows Events. Дополнительные сведения см. в статье Подключения на основе агента Windows.

    3. Перейдите на страницу соединителя данных устаревшего агента . На вкладке "Инструкции" в разделе "Настройка>шаг 2>" выберите события для потоковой передачи, выберите "Нет". Система будет настроена таким образом, что вы не будете получать никаких событий безопасности через MMA/OMS, но другие источники данных, использующие этот агент, продолжат работать. Этот этап охватывает все компьютеры, передающие отчеты в текущую рабочую область Log Analytics.

    Внимание

    Получение данных из одного источника с помощью двух различных типов агентов приведет к двойной оплате за прием и дублированию событий в рабочей области Microsoft Sentinel.

    Если вам нужно одновременно работать с обоими соединителями данных, делайте это в течение ограниченного времени для тестирования производительности и сравнения агентов, в идеале в отдельной тестовой рабочей области.

  3. Оцените успешность подтверждения концепции.

    Чтобы упростить этот этап, используйте книгу Трекер миграции AMA, в которой отображаются серверы, отправляющие отчеты в ваши рабочие области, а также указывается, какие агенты на них установлены: устаревший MMA, AMA или оба. Эту книгу также можно использовать для просмотра DCR, собирающих события с ваших компьютеров, и типов собираемых событий.

    Выберите подписку и группу ресурсов в верхней части книги, чтобы отобразить данные для вашей среды. Например:

    Снимок экрана: книга отслеживания миграции AMA.

    Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.

    Критерии успеха должны включать статистический анализ и сравнение количественных данных, принимаемых агентами MMA/OMS и AMA на одном узле:

    • Измерьте успешное выполнение за определенный период времени, который представляет нормальную рабочую нагрузку для вашей среды.

    • Во время тестирования проверьте каждую новую функцию, предоставляемую AMA, например, многоадресную поддержку Linux, фильтрацию событий Windows и т. д.

    • Спланируйте развертывание агентов AMA в рабочей среде в соответствии с профилем риска вашей организации и процессами изменений.

  4. Разверните новый агент в рабочей среде и выполните окончательный тест функциональности AMA.

  5. Отключите все соединители данных, которые используют устаревший соединитель, например "События безопасности с MMA". Оставьте новый соединитель, например "События безопасности Windows с AMA".

    Хотя устаревшие агенты MMA/OMS и AMA могут работать параллельно, убедитесь, что каждый источник данных использует только один агент для отправки данных в Microsoft Sentinel, чтобы избежать лишних расходов и дублирования данных.

  6. Проверьте рабочую область Microsoft Sentinel, чтобы убедиться, что все потоки данных заменены новыми соединителями на основе AMA.

  7. Удалите устаревший агент. Дополнительные сведения см. в статье "Управление агентом Azure Log Analytics".

Для развертывания рабочей среды рекомендуется настроить AMA для каждого источника данных. Чтобы устранить проблемы, связанные с дублированием, см. соответствующие вопросы и ответы в документации по Azure Monitor.

Связанный контент

Дополнительные сведения см. в разделе: