你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为停用 Log Analytics 代理做好准备
Log Analytics 代理,也称为 Microsoft Monitoring Agent (MMA),它将于 2024 年 8 月停用。 因此,Microsoft Defender for Cloud 中计算机计划的 Defender for Servers 和 Defender for SQL 将更新,并且将重新设计依赖于 Log Analytics 代理的功能。
本文总结了代理停用计划。
准备 Defender for Servers
Defender for Servers 计划在正式发布版 (GA)和 AMA 中使用 Log Analytics 代理以实现一些功能(预览版)。 下面是未来这些功能发生的情况:
为了简化载入,所有 Defender for Servers 特性和安全功能都将随单个代理 (Microsoft Defender for Endpoint) 提供,并由无代理计算机扫描进行补充,不依赖于 Log Analytics 代理或 AMA。
- 基于 AMA 的 Defender for Servers 功能目前以预览版提供,不会在正式版中发布。
- 依赖 AMA 的预览版功能将保持受支持状态,直到提供了功能的替代版本,这依赖于 Defender for Endpoint 集成或无代理计算机扫描功能。
- 通过在弃用发生之前启用Defender for Endpoint 集成和无代理计算机扫描功能,你的 Defender for Servers 部署将保持最新且受到支持。
特性功能
下表总结了如何提供 Defender for Servers 功能。 已使用 Defender for Endpoint 集成或无代理计算机扫描正式发布大多数功能。 在 MMA 停用或弃用时,其余功能将在正式版中提供。
| 功能 | 当前支持 | 新支持 | 新体验状态 |
|---|---|---|---|
| 适用于下层 Windows 计算机 (Windows Server 2016/2012 R2) 的 Defender for Endpoint 集成 | 基于 Log Analytics 代理的旧版 Defender for Endpoint 传感器 | 统一代理集成 | - MDE 统一代理的功能是正式版。 - 使用 Log Analytics 代理的旧版 Defender for Endpoint 传感器的功能将于 2024 年 8 月弃用。 |
| OS 级威胁检测 | Log Analytics 代理 | Defender for Endpoint 代理集成 | Defender for Endpoint 代理的功能是正式版。 |
| 自适应应用程序控制 | Log Analytics 代理 (GA),AMA(预览版) | --- | 自适应应用程序控制功能设定为在 2024 年 8 月弃用。 |
| 终结点保护发现建议 | 使用 Log Analytics 代理 (GA) 或 AMA(预览版)通过基础云安全态势管理 (CSPM) 计划和 Defender for Servers 提供的建议 | 无代理计算机扫描 | - 无代理计算机扫描功能已于 2024 年早些时候发布为预览版,作为 Defender for Servers 计划 2 和 Defender CSPM 计划的一部分。 - 支持 Azure VM、Google Cloud Platform (GCP) 实例和 Amazon Web Services (AWS) 实例。 不支持本地计算机。 |
| 缺少 OS 更新建议 | 使用 Log Analytics 代理在基础 CSPM 和 Defender for Servers 计划中提供的建议。 | 与更新管理器、Microsoft 集成 | 基于 Azure 更新管理器集成的新建议是正式版,没有代理依赖项。 |
| OS 配置错误(Microsoft 云安全基准) | 使用 Log Analytics 代理或来宾配置扩展(预览版)通过基础 CSPM 和 Defender for Servers 计划提供的建议。 | 来宾配置扩展,作为 Defender for Servers 计划 2 的一部分。 | - 基于来宾配置扩展的功能将于 2024 年 9 月正式发布 - 仅适用于 Defender for Cloud 客户:Log Analytics 代理的功能将于 2024 年 11 月弃用. - 自 2024 年 8 月起,将不再支持对 Docker-hub 和 Azure 虚拟机规模集使用此功能。 |
| 文件完整性监视 | Log Analytics 代理,AMA(预览版) | Defender for Endpoint 代理集成 | Defender for Endpoint 代理的功能将于 2024 年 8 月提供。 - 仅适用于 Defender for Cloud 客户:Log Analytics 代理的功能将于 2024 年 11 月弃用. - 发布 Defender for Endpoint 集成后,AMA 的功能将弃用。 |
适用于数据引入的 500 MB 权益
若要为受支持的数据类型保留 500 MB 的免费数据引入额度,你需要从 MMA 迁移到 AMA。
注意
该权益授予每个启用了 Defender for Servers 计划 2 的订阅包含的 AMA 计算机。
该权益授予计算机报告的工作区。
该安全解决方案应安装在相关工作区上。 在此处详细了解如何执行该操作。
如果计算机向多个工作区报告,则该权益仅向其中一个工作区授予。
详细了解如何部署 AMA。
对于计算机上的 SQL 服务器,建议迁移到面向 SQL Server 的 Azure Monitoring Agent (AMA) 的自动预配进程。
通过 Log Analytics 代理对旧版 Defender for Servers 计划 2 加入进行了更改
基于 Log Analytics 代理并使用 Log Analytics 工作区将服务器加入 Defender for Servers 计划 2 的传统方法也即将停用:
使用 Log Analytics 代理和工作区将新的非 Azure 计算机加入 Defender for Servers 的加入体验已从 Defender for Cloud 门户的“清单”和“入门”边栏选项卡中删除。
为避免连接到 Log Analytics 工作区的受影响计算机在代理停用后失去安全保护:
如果曾使用旧方法载入非 Azure 服务器(同时含本地和多云服务器),现在应通过已启用 Azure Arc 的服务器将这些计算机连接到 Defender for Servers 计划 2 Azure 订阅和连接器。 详细了解如何大规模部署 Arc 计算机。
- 如果使用旧的方法在选定的 Azure VM 上启用 Defender for Servers 计划 2,我们建议在这些计算机的 Azure 订阅上启用 Defender for Servers 计划 2。 然后,可以使用 Defender for Servers 每个资源配置从 Defender for Servers 覆盖范围中排除单个计算机。
以下是需为通过旧方法载入 Defender for Servers 计划 2 的每个服务器执行的操作的摘要:
| 计算机类型 | 保留安全保护所需的操作 |
|---|---|
| 本地服务器 | 已加入 Arc 并连接到 Defender for Servers 计划 2 订阅 |
| Azure 虚拟机 | 连接到 Defender for Servers 计划 2 订阅 |
| 多云服务器 | 使用 Azure Arc 预配和 Defender for Servers 计划 2 连接到多云连接器 |
终结点保护建议体验 - 更改和迁移指导
终结点发现和建议目前由 Defender for Cloud 基础 CSPM 和 Defender for Servers 计划使用 Log Analytics 代理正式版或 AMA 预览版提供。 此体验将替换为使用无代理计算机扫描收集的安全建议。
Endpoint Protection 保护建议分为两个阶段。 在终结点检测和响应解决方案中,第一个阶段是发现阶段。 第二种是解决方案配置的评估。 下表提供了每个阶段当前体验和新体验的详细信息。
了解如何管理新的终结点检测和响应建议(无代理)。
终结点检测和响应解决方案 - 发现
| 区域 | 当前体验(基于 AMA/MMA) | 新体验(基于无代理计算机扫描) |
|---|---|---|
| 将资源归类为正常需要什么? | 防病毒已到位。 | 终结点检测和响应解决方案已到位。 |
| 获取建议需要什么? | Log Analytics 代理 | 无代理计算机扫描 |
| 哪些计划受支持? | - 基础 CSPM (免费) - Defender for Servers 计划 1 和计划 2 |
- Defender CSPM - Defender for Servers 计划 2 |
| 哪些解决方法可用? | 安装 Microsoft 反恶意软件。 | 在选定的计算机/订阅上安装 Defender for Endpoint。 |
终结点检测和响应解决方案 - 配置评估
| 区域 | 当前体验(基于 AMA/MMA) | 新体验(基于无代理计算机扫描) |
|---|---|---|
| 如果一个或多个安全检查不正常,则资源被归类为不正常。 | 三个安全检查: - 实时保护已关闭 - 签名已过期。 - 快速扫描和全扫描都不会运行 7 天。 |
三个安全检查: - 防病毒已关闭或部分配置 - 签名已过期 - 快速扫描和全扫描都不会运行 7 天。 |
| 获取建议的先决条件 | 到位的反恶意软件解决方案 | 终结点检测和响应解决方案已到位。 |
正在弃用哪些建议?
下表总结了弃用和替换建议的时间表。
| 建议 | Agent | 支持的资源 | 弃用日期 | 替换建议 |
|---|---|---|---|---|
| 应在计算机上安装 Endpoint Protection(公共) | MMA/AMA | Azure 和非 Azure(Windows 和 Linux) | 2024 年 7 月 | 新的无代理建议 |
| 应在计算机上解决 Endpoint Protection 运行状况问题(公共) | MMA/AMA | Azure (Windows) | 2024 年 7 月 | 新的无代理建议 |
| 应在虚拟机规模集上解决 Endpoint Protection 运行状况故障 | MMA | Azure 虚拟机规模集 | 2024 年 8 月 | 无替换 |
| 应在虚拟机规模集上安装终结点保护解决方案 | MMA | Azure 虚拟机规模集 | 2024 年 8 月 | 无替换 |
| Endpoint Protection 解决方案应位于计算机上 | MMA | 非 Azure 资源 (Windows) | 2024 年 8 月 | 无替换 |
| 在计算机上安装 Endpoint Protection 解决方案 | MMA | Azure 和非 Azure (Windows) | 2024 年 8 月 | 新的无代理建议 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | MMA | Azure 和非 Azure(Windows 和 Linux) | 2024 年 8 月 | 新的无代理建议。 |
基于无代理计算机扫描的新建议体验跨多云计算机支持 Windows 和 Linux OS。
替换的工作原理是什么?
- Log Analytics 代理或 AMA 提供的当前建议将在一段时间内弃用。
- 其中一些现有建议将替换为基于无代理计算机扫描的新建议。
- 在 Log Analytics 代理停用之前,目前正式版中的建议保持不变。
- 在预览版中提供新建议时,将替换当前位于预览版中的建议。
安全分数会发生什么情况?
- 目前正式版中的建议将继续影响安全分数。
- 当前的建议和即将推出的新建议位于同一 Microsoft 云安全基准控制下,确保不会对安全分数产生重复影响。
我如何准备新建议?
- 确保无代理计算机扫描已作为 Defender for Servers 计划 2 或 Defender CSPM 的一部分启用。
- 如果适合环境,为了获得最佳体验,建议在替换 GA 建议可用时删除弃用的建议。 为此,请在Azure Policy 的内置 Defender for Cloud 计划i中禁用建议。
文件完整性监视体验 - 更改和迁移指导
Microsoft Defender for Servers 计划 2 现在提供由 Microsoft Defender for Endpoint (MDE) 集成提供支持的新文件完整性监视 (FIM) 解决方案。 由 MDE 提供支持的 FIM 公开后,Defender for Cloud 门户中由 AMA 提供支持的 FIM 体验将被移除。 11 月,由 MMA 提供支持的 FIM 将被弃用。
从通过 AMA 的 FIM 迁移
如果当前正在使用通过 AMA 的 FIM:
从 5 月 30 日起,将不再通过 Defender for Cloud 门户基于 AMA 将新订阅或服务器加入 FIM,也无法再进行更改跟踪扩展以及查看更改。
如果要继续使用由 AMA 收集的 FIM 事件,可以使用以下查询手动连接到相关工作区并查看更改跟踪表中的更改:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType若要继续加入新范围或配置监视规则,可以手动使用数据连接规则来配置或自定义数据收集的各个方面。
Microsoft Defender for Cloud 建议禁用通过 AMA 的 FIM,并在发布后基于 Defender for Endpoint 将环境加入到新的 FIM 版本。
禁用通过 AMA 的 FIM
若要禁用通过 AMA 的 FIM,请移除 Azure 更改跟踪解决方案。 有关详细信息,请参阅移除更改跟踪解决方案。
或者,可以移除相关的文件更改跟踪数据收集规则 (DCR)。 有关详细信息,请参阅 Remove-AzDataCollectionRuleAssociation 或 Remove-AzDataCollectionRule。
使用上述方法之一禁用文件事件收集后:
- 将在所选范围内停止收集新事件。
- 已收集的历史事件仍存储在“更改跟踪”部分中 ConfigurationChange 表下的相关工作区中。 这些事件将根据此工作区中定义的保持期保留在相关工作区中。 有关详细信息,请参阅保留和存档的工作原理。
从通过 Log Analytics 代理 (MMA) 的 FIM 迁移
如果目前正在使用通过 Log Analytics 代理 (MMA) 的 FIM:
基于 Log Analytics 代理 (MMA) 的文件完整性监视将于 2024 年 11 月底弃用。
Microsoft Defender for Cloud 建议禁用通过 MMA 的 FIM,并在发布后基于 Defender for Endpoint 将环境加入到新的 FIM 版本。
禁用通过 MMA 的 FIM
若要禁用通过 MMA 的 FIM,请移除 Azure 更改跟踪解决方案。 有关详细信息,请参阅移除更改跟踪解决方案。
禁用文件事件收集后:
- 将在所选范围内停止收集新事件。
- 已收集的历史事件仍存储在“更改跟踪”部分中 ConfigurationChange 表下的相关工作区中。 这些事件将根据此工作区中定义的保持期保留在相关工作区中。 有关详细信息,请参阅保留和存档的工作原理。
在计算机上安装 Defender for SQL
可以了解有关计算机 Log Analytics 代理弃用计划的 Defender for SQL Server的详细信息。
如果正在使用当前 Log Analytics 代理/Azure Monitor 代理自动配置进程,应迁移到新的计算机上的 SQL Server Azure 监视代理自动预配进程。 迁移过程是无缝的,会为所有计算机提供持续保护。
迁移到面向 SQL Server 的 AMA 自动预配过程
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“数据库计划”下,选择“需要操作”。
在弹出窗口中,选择“启用”。
选择“保存”。
启用面向 SQL Server 的 AMA 自动预配进程后,应禁用 Log Analytics 代理/Azure Monitor 代理自动预配进程,并在所有 SQL 服务器上卸载 MMA:
要禁用 Log Analytics 代理:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“数据库计划”下,选择“设置”。
将 Log Analytics 代理切换为关。
选择继续。
选择“保存”。
迁移规划
建议根据业务需求规划代理迁移。 下表总结了我们的指导。
| 正在使用 Defender for Servers? | 正式版中是否需要这些 Defender for Servers 功能:文件完整性监视、Endpoint Protection 建议、安全基线建议? | 正在计算机或 AMA 日志收集上使用 Defender for SQL 服务器? | 迁移计划 |
|---|---|---|---|
| 是 | 是 | 否 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.等待正式发布替代平台的所有功能(可以提前使用预览版)。 3.功能正式发布后,禁用Log Analytics 代理。 |
| 否 | --- | 否 | 现在可以删除 Log Analytics 代理。 |
| 否 | --- | 是 | 1.现在可以迁移到 AMA 的 SQL 自动预配。 2.禁用 Log Analytics/Azure Monitor 代理。 |
| 是 | 是 | 是 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.可以并行使用 Log Analytics 代理和 AMA 以获取正式版中的所有功能。 详细了解并行运行代理。 3.在计算机的 Defender for SQL 中迁移到AMA 的 SQL 自动预配。 或者,在 2024 年 4 月开始从 Log Analytics 代理迁移到 AMA。 4.迁移完成后,禁用Log Analytics 代理。 |
| 是 | No | 是 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.现在可以在计算机的 Defender for SQL 中迁移到AMA 的 SQL 自动预配。 3.禁用 Log Analytics 代。 |