Dela via

AMA-migrering för Microsoft Sentinel

  • Artikel

Den här artikeln beskriver migreringsprocessen till Azure Monitor Agent (AMA) när du har en befintlig, äldre Log Analytics-agent (MMA/OMS) och arbetar med Microsoft Sentinel.

Log Analytics-agenten dras tillbaka från och med den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du migrerar till AMA.

Förutsättningar

  • Börja med Azure Monitor-dokumentationen, som tillhandahåller en agentjämförelse och allmän information för den här migreringsprocessen. Den här artikeln innehåller specifik information och skillnader för Microsoft Sentinel.

Migrera till Azure Monitor-agenten

Varje organisation har olika mått för lyckade och interna migreringsprocesser. Det här avsnittet innehåller förslag på vägledning när du migrerar från Log Analytics MMA/OMS-agenten till AMA, särskilt för Microsoft Sentinel.

Inkludera följande steg i migreringsprocessen:

  1. Kontrollera att du har granskat nödvändiga krav och andra överväganden enligt dokumentationen i Azure Monitor. Mer information finns i Innan du börjar.

  2. Kör ett konceptbevis för att testa hur AMA skickar data till Microsoft Sentinel, helst i en utvecklings- eller sandbox-miljö.

    1. Installera Microsoft Sentinel-lösningen Windows-säkerhet Events i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

    2. Om du vill ansluta dina Windows-datorer till Windows-säkerhet Händelseanslutningsappen börjar du med sidan Windows-säkerhet Händelser via AMA-dataanslutning i Microsoft Sentinel. Mer information finns i Windows-agentbaserade anslutningar.

    3. Fortsätt med sidan Säkerhetshändelser via äldre agentdataanslutning . På fliken Instruktioner går du till Konfiguration>steg 2>Välj vilka händelser som ska strömmas och väljer Ingen. Detta konfigurerar systemet så att du inte får några säkerhetshändelser via MMA/OMS, men andra datakällor som förlitar sig på den här agenten fortsätter att fungera. Det här steget påverkar alla datorer som rapporterar till din aktuella Log Analytics-arbetsyta.

    Viktigt!

    Inmatning av data från samma källa med hjälp av två olika typer av agenter resulterar i dubbla inmatningsavgifter och duplicerade händelser på Microsoft Sentinel-arbetsytan.

    Om du behöver hålla båda dataanslutningarna igång samtidigt rekommenderar vi att du bara gör det under en begränsad tid för en benchmarking eller testjämförelseaktivitet, helst i en separat testarbetsyta.

  3. Mät framgångarna för ditt konceptbevis.

    För att hjälpa till med det här steget använder du arbetsboken för AMA-migreringsspårare , som visar servrarna som rapporterar till dina arbetsytor, och om de har den äldre MMA, AMA eller båda agenterna installerade. Du kan också använda den här arbetsboken för att visa dcrs som samlar in händelser från dina datorer och vilka händelser de samlar in.

    Se till att välja prenumeration och resursgrupp överst i arbetsboken för att visa data för din miljö. Till exempel:

    Skärmbild av arbetsboken för AMA-migreringsspårare.

    Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.

    Framgångskriterierna bör innehålla en statistisk analys och jämförelse av de kvantitativa data som matas in av MMA/OMS- och AMA-agenterna på samma värd:

    • Mät din framgång under en fördefinierad tidsperiod som representerar en normal arbetsbelastning för din miljö.

    • När du testar bör du testa varje ny funktion som tillhandahålls av AMA, till exempel Linux multi-homing, Windows-händelsefiltrering och så vidare.

    • Planera distributionen för AMA-agenter i produktionsmiljön enligt organisationens riskprofil och förändringsprocesser.

  4. Distribuera den nya agenten i produktionsmiljön och kör ett sista test av AMA-funktionerna.

  5. Koppla från alla dataanslutningar som förlitar sig på den äldre anslutningsappen, till exempel Säkerhetshändelser med MMA. Låt den nya anslutningsappen, till exempel Windows-säkerhet Händelser med AMA, vara igång.

    Du kan ha både äldre MMA/OMS och AMA-agenterna igång parallellt, men förhindra dubbla kostnader och data genom att se till att varje datakälla endast använder en agent för att skicka data till Microsoft Sentinel.

  6. Kontrollera din Microsoft Sentinel-arbetsyta för att se till att alla dina dataströmmar har ersatts med hjälp av de nya AMA-baserade anslutningsprogrammen.

  7. Avinstallera den äldre agenten. Mer information finns i Hantera Azure Log Analytics-agenten.

För produktionsdistributionen rekommenderar vi att du konfigurerar AMA för varje datakälla. Information om hur du åtgärdar eventuella problem med duplicering finns i relevanta vanliga frågor och svar i Azure Monitor-dokumentationen.

Relaterat innehåll

Mer information finns i: