Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver overføringsprosessen til Azure Monitor Agent (AMA) når du har en eksisterende, eldre Log Analytics Agent (MMA/OMS) og arbeider med Microsoft Sentinel.
Log Analytics-agenten er trukket tilbake fra og med 31. august 2024. Hvis du bruker Log Analytics-agenten i Microsoft Sentinel distribusjonen, anbefaler vi at du overfører til AMA.
Forutsetninger
- Start med dokumentasjonen for Azure Monitor, som gir en agentsammenligning og generell informasjon for denne overføringsprosessen. Denne artikkelen inneholder spesifikke detaljer og forskjeller for Microsoft Sentinel.
Overfør til Azure Monitor Agent
Hver organisasjon vil ha ulike måledata for suksess og interne overføringsprosesser. Denne delen gir forslag til veiledning for å vurdere når du overfører fra Log Analytics MMA/ OMS-agenten til AMA, spesielt for Microsoft Sentinel.
Inkluder følgende trinn i overføringsprosessen:
Kontroller at du har gjennomgått nødvendige forutsetninger og andre hensyn, som dokumentert i dokumentasjonen for Azure Monitor. Hvis du vil ha mer informasjon, kan du se Før du begynner.
Kjør et konseptbevis for å teste hvordan AMA sender data til Microsoft Sentinel, ideelt sett i et utviklings- eller sandkassemiljø.
Installer løsningen Windows Sikkerhet Hendelser Microsoft Sentinel i Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold.
Hvis du vil koble Windows-maskinene til Windows Sikkerhet Event-koblingen, starter du med Windows Sikkerhet Hendelser via AMA-datakoblingssiden i Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Windows-agentbaserte tilkoblinger.
Fortsett med sikkerhetshendelser via datakoblingssiden for eldre agent. Velg Ingen under Konfigurasjonstrinn>2>Velg hvilke hendelser som skal strømmes på Instruksjoner-fanen. Dette konfigurerer systemet slik at du ikke mottar noen sikkerhetshendelser gjennom MMA/OMS, men andre datakilder som er avhengige av denne agenten, vil fortsette å fungere. Dette trinnet påvirker alle maskiner som rapporterer til gjeldende Log Analytics-arbeidsområde.
Viktig
Inntak av data fra samme kilde ved hjelp av to forskjellige typer agenter vil resultere i doble inntakskostnader og dupliserte hendelser i det Microsoft Sentinel arbeidsområdet.
Hvis du trenger å holde begge datakoblingene i gang samtidig, anbefaler vi at du bare gjør det i en begrenset periode for en benchmarking- eller testsammenligningsaktivitet, ideelt sett i et eget testarbeidsområde.
Mål suksessen til konseptbeviset.
Hvis du vil ha hjelp med dette trinnet, kan du bruke arbeidsboken AMA-overføringssporing , som viser serverne som rapporterer til arbeidsområdene dine, og om de har den eldre MMA- eller AMA-en eller begge agentene installert. Du kan også bruke denne arbeidsboken til å vise DCR-ene som samler inn hendelser fra maskinene dine, og hvilke hendelser de samler inn.
Pass på at du velger abonnement og ressursgruppe øverst i arbeidsboken for å vise data for miljøet ditt. Eksempel:
Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene ved hjelp av arbeidsbøker i Microsoft Sentinel.
Suksesskriterier bør inkludere en statistisk analyse og sammenligning av kvantitative data inntatt av MMA/OMS- og AMA-agentene på samme vert:
Mål suksessen over en forhåndsdefinert tidsperiode som representerer en vanlig arbeidsbelastning for miljøet ditt.
Når du tester, må du teste hver nye funksjon levert av AMA, for eksempel Linux multi-homing, Windows-hendelsesfiltrering og så videre.
Planlegg utrullingen for AMA-agenter i produksjonsmiljøet i henhold til organisasjonens risikoprofil og endringsprosesser.
Rull ut den nye agenten i produksjonsmiljøet og kjør en endelig test av AMA-funksjonaliteten.
Koble fra datakoblinger som er avhengige av den eldre koblingen, for eksempel sikkerhetshendelser med MMA. La den nye koblingen, for eksempel Windows Sikkerhet Hendelser med AMA, kjøre.
Selv om du kan la både eldre MMA/OMS og AMA-agentene kjøre parallelt, kan du forhindre dupliserte kostnader og data ved å sørge for at hver datakilde bare bruker én agent til å sende data til Microsoft Sentinel.
Kontroller Microsoft Sentinel arbeidsområdet for å sikre at alle datastrømmene er erstattet ved hjelp av de nye AMA-baserte koblingene.
Avinstaller den eldre agenten. Hvis du vil ha mer informasjon, kan du se Administrere Azure Log Analytics-agenten.
For produksjonslanseringen anbefaler vi at du konfigurerer AMA for hver datakilde. Hvis du vil løse eventuelle problemer med duplisering, kan du se de relevante vanlige spørsmålene i dokumentasjonen for Azure Overvåke.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: