Microsoft Sentinel AMA-siirto

Tässä artikkelissa kuvataan siirtoprosessi Azure Monitor Agentille (AMA), kun sinulla on aiemmin luotu vanha Log Analytics Agent (MMA/OMS) ja työskentelet Microsoft Sentinel kanssa.

Log Analytics -agentti poistetaan käytöstä 31.8.2024. Jos käytät Log Analytics -agenttia Microsoft Sentinel käyttöönotossa, suosittelemme, että siirryt AMA:hen.

Ennakkovaatimukset

• Aloita Azure Monitor -dokumentaatiosta, joka tarjoaa agenttivertailun ja yleisiä tietoja tätä siirtoprosessia varten. Tässä artikkelissa on yksityiskohtaisia tietoja ja eroja Microsoft Sentinel varten.

Siirtyminen Azure monitoriagenttiin

Kullakin organisaatiolla on eri mittareita onnistumisesta ja sisäisistä siirtoprosesseista. Tässä osiossa on ehdotettuja ohjeita, jotka kannattaa ottaa huomioon siirryttäessä Log Analytics MMA/OMS -agentista AMA:han erityisesti Microsoft Sentinel varten.

Sisällytä seuraavat vaiheet siirtoprosessiin:

1. Varmista, että olet tarkistanut tarvittavat edellytykset ja muut huomioon otettavat seikat Azure Monitor -dokumentaatiossa kuvatulla tavalla. Lisätietoja on kohdassa Ennen aloittamista.

2. Suorita soveltuvuusselvitys testataksesi, miten AMA lähettää tietoja Microsoft Sentinel ihannetapauksessa kehitys- tai eristysympäristössä.

   1. Asenna Microsoft Sentinel Windowsin suojaus Events Microsoft Sentinel -ratkaisu. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

   2. Jos haluat yhdistää Windows-laitteesi Windowsin suojaus Event -liittimeen, aloita Windowsin suojaus Tapahtumat AMA-tietoliittimen kautta -sivulta Microsoft Sentinel. Lisätietoja on kohdassa Windows-agenttipohjaiset yhteydet.

   3. Jatka Suojaustapahtumat Vanhan agentin tietoyhdistinsivulla. Valitse Ohjeet-välilehdenMääritysvaihe>2>Valitse, mitkä tapahtumat virtautettavaksi, valitse Ei mitään. Tämä määrittää järjestelmän niin, että et saa suojaustapahtumia MMA/OMS:n kautta, mutta muut tästä agentista riippuvaiset tietolähteet toimivat edelleen. Tämä vaihe vaikuttaa kaikkiin tietokoneisiin, jotka raportoivat nykyiseen Log Analytics -työtilaasi.

   Tärkeää

   Tietojen käyttö samasta lähteestä kahdentyyppisten agenttien avulla aiheuttaa kaksinkertaisia käsittelymaksuja ja päällekkäisiä tapahtumia Microsoft Sentinel työtilassa.

   Jos haluat pitää molemmat tietoliittimet käynnissä samanaikaisesti, suosittelemme, että teet sen vain rajoitetun ajan vertailua tai testivertailua varten, mieluiten erillisessä testityötilassa.

3. Mittaa soveltuvuusselvityksen onnistumista.

   Voit auttaa tässä vaiheessa käyttämällä AMA-siirron seurannan työkirjaa, jossa näkyvät palvelimet, jotka raportoivat työtiloihisi, ja onko heillä vanha MMA, AMA tai molemmat agentit asennettuina. Tämän työkirjan avulla voit myös tarkastella dcr-pyyntöjä, jotka keräävät tapahtumia koneistasi ja mitä tapahtumia ne keräävät.

   Muista valita tilaus ja resurssiryhmä työkirjan yläosasta ympäristösi tietojen näyttämiseksi. Esimerkki:

   

   Lisätietoja on artikkelissa Tietojen visualisointi ja valvonta työkirjojen avulla Microsoft Sentinel.

   Onnistumiskriteereihin olisi kuuluttava tilastollinen analyysi ja Kvantitatiivisen tiedon vertailu, jota MMA/OMS- ja AMA-edustajat ovat arvioineet samasta isännästä:

   • Mittaa onnistumistasi ennalta määritetyllä ajanjaksolla, joka edustaa ympäristön normaalia kuormitusta.

   • Testaa testauksen aikana kaikki AMA:n tarjoamat uudet ominaisuudet, kuten Linux monihaku, Windows-tapahtumien suodatus ja niin edelleen.

   • Suunnittele käyttöönotto AMA-agenteille tuotantoympäristössäsi organisaatiosi riskiprofiilin ja muutosprosessien mukaisesti.

4. Ota uusi agentti käyttöön tuotantoympäristössäsi ja suorita AMA-toiminnon lopullinen testi.

5. Katkaise yhteys kaikkiin tietoyhdistimiin, jotka ovat riippuvaisia vanhasta liittimestä, kuten suojaustapahtumat MMA:n kanssa. Jätä uusi liitin, kuten Windowsin suojaus Tapahtumat AMA:n kanssa, käynnissä.

   Vaikka voit käyttää sekä vanhoja MMA/OMS-agentteja että AMA-agentteja rinnakkain, estä päällekkäiset kustannukset ja tiedot varmistamalla, että kukin tietolähde käyttää vain yhtä agenttia tietojen lähettämiseen Microsoft Sentinel.

6. Tarkista Microsoft Sentinel työtilasi ja varmista, että kaikki tietovirtasi on korvattu uusilla AMA-pohjaisten liittimien avulla.

7. Poista vanhan agentin asennus. Lisätietoja on artikkelissa Azure Log Analytics -agentin hallinta.

Tuotantokäyttöönottoa varten suosittelemme, että määrität kunkin tietolähteen AMA:n. Jos haluat korjata päällekkäisyyteen liittyviä ongelmia, tutustu Azure Monitor -dokumentaation asiaankuuluviin usein kysyttyihin kysymyksiin.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

• Yleiskatsaus Azure monitoriagentteihin
• Siirtyminen Log Analytics -agenteista
• Windows-agenttipohjaiset yhteydet