Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird der Migrationsprozess zum Azure Monitor Agent (AMA) beschrieben, wenn Sie über einen vorhandenen Log Analytics-Agent (MMA/OMS) verfügen und mit Microsoft Sentinel arbeiten.
Der Log Analytics-Agent wird zum 31. August 2024 eingestellt. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, zum AMA zu migrieren.
Voraussetzungen
- Beginnen Sie mit der Azure Monitor-Dokumentation, die einen Agent-Vergleich und allgemeine Informationen für diesen Migrationsprozess enthält. Dieser Artikel enthält spezifische Details und Unterschiede für Microsoft Sentinel.
Migrieren zum Azure Monitor-Agent
Jede organization verfügt über unterschiedliche Erfolgsmetriken und interne Migrationsprozesse. Dieser Abschnitt enthält empfehlungen, die Sie bei der Migration vom MMA/OMS-Agent von Log Analytics zum AMA berücksichtigen sollten, insbesondere für Microsoft Sentinel.
Schließen Sie die folgenden Schritte in Ihren Migrationsprozess ein:
Stellen Sie sicher, dass Sie die erforderlichen Voraussetzungen und andere Überlegungen überprüft haben, wie in der Azure Monitor-Dokumentation dokumentiert. Weitere Informationen finden Sie unter Bevor Sie beginnen.
Führen Sie einen Proof of Concept aus, um zu testen, wie der AMA Daten an Microsoft Sentinel sendet, idealerweise in einer Entwicklungs- oder Sandboxumgebung.
Installieren Sie in Microsoft Sentinel die Lösung Windows-Sicherheit Events Microsoft Sentinel. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Um Ihre Windows-Computer mit dem Windows-Sicherheit Event-Connector zu verbinden, beginnen Sie mit der Seite Windows-Sicherheit Ereignisse über AMA-Datenconnector in Microsoft Sentinel. Weitere Informationen finden Sie unter Windows-Agent-basierte Verbindungen.
Fahren Sie mit der Seite Sicherheitsereignisse über Legacy-Agent-Datenconnector fort. Wählen Sie auf der Registerkarte Anweisungen unter Konfigurationsschritt>2>Auswählen der zu streamden Ereignissedie Option Keine aus. Dadurch wird Ihr System so konfiguriert, dass Sie keine Sicherheitsereignisse über das MMA/OMS empfangen, aber andere Datenquellen, die auf diesen Agent angewiesen sind, funktionieren weiterhin. Dieser Schritt wirkt sich auf alle Computer aus, die an Ihren aktuellen Log Analytics-Arbeitsbereich melden.
Wichtig
Das Erfassen von Daten aus derselben Quelle mit zwei verschiedenen Arten von Agents führt zu doppelten Erfassungsgebühren und doppelten Ereignissen im Microsoft Sentinel Arbeitsbereich.
Wenn Sie beide Datenconnectors gleichzeitig ausführen müssen, empfehlen wir Ihnen, dies nur für einen begrenzten Zeitraum für ein Benchmarking oder eine Testvergleichsaktivität zu tun, idealerweise in einem separaten Testarbeitsbereich.
Messen Sie den Erfolg Ihres Proof of Concept.
Um diesen Schritt zu unterstützen, verwenden Sie die Arbeitsmappe AMA-Migrationsnachverfolgung , in der die Server angezeigt werden, die an Ihre Arbeitsbereiche berichten, und ob auf ihnen die Legacy-MMA, der AMA oder beide Agents installiert sind. Sie können diese Arbeitsmappe auch verwenden, um die DCRs anzuzeigen, die Ereignisse von Ihren Computern sammeln, und welche Ereignisse sie sammeln.
Stellen Sie sicher, dass Sie Ihr Abonnement und Ihre Ressourcengruppe oben in der Arbeitsmappe auswählen, um Daten für Ihre Umgebung anzuzeigen. Zum Beispiel:
Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Erfolgskriterien sollten eine statistische Analyse und einen Vergleich der quantitativen Daten umfassen, die von den MMA/OMS- und AMA-Agents auf demselben Host erfasst werden:
Messen Sie Ihren Erfolg über einen vordefinierten Zeitraum, der eine normale Workload für Ihre Umgebung darstellt.
Stellen Sie beim Testen sicher, dass Sie jedes neue Feature testen, das vom AMA bereitgestellt wird, z. B. Linux Multi-Homing, Windows-Ereignisfilterung usw.
Planen Sie Ihren Rollout für AMA-Agents in Ihrer Produktionsumgebung entsprechend dem Risikoprofil und den Änderungsprozessen Ihrer organization.
Führen Sie den neuen Agent in Ihrer Produktionsumgebung aus, und führen Sie einen abschließenden Test der AMA-Funktionalität aus.
Trennen Sie alle Datenconnectors, die auf dem Legacyconnector basieren, z. B. Sicherheitsereignisse mit MMA. Lassen Sie den neuen Connector, z. B. Windows-Sicherheit Ereignisse mit AMA, ausgeführt.
Sie können zwar sowohl die älteren MMA/OMS- als auch die AMA-Agents parallel ausführen, vermeiden Sie doppelte Kosten und Daten, indem Sie sicherstellen, dass jede Datenquelle nur einen Agent zum Senden von Daten an Microsoft Sentinel verwendet.
Überprüfen Sie Ihren Microsoft Sentinel Arbeitsbereich, um sicherzustellen, dass alle Datenströme mithilfe der neuen AMA-basierten Connectors ersetzt wurden.
Deinstallieren Sie den Legacy-Agent. Weitere Informationen finden Sie unter Verwalten des Azure Log Analytics-Agents.
Für Ihren Produktionsrollout empfiehlt es sich, den AMA für jede Datenquelle zu konfigurieren. Informationen zur Behebung von Problemen mit Duplizierung finden Sie in den relevanten häufig gestellten Fragen in der Azure Monitor-Dokumentation.
Verwandte Inhalte
Weitere Informationen finden Sie unter: