Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt het migratieproces naar de Azure Monitor Agent (AMA) beschreven wanneer u een bestaande, verouderde Log Analytics-agent (MMA/OMS) hebt en met Microsoft Sentinel werkt.
De Log Analytics-agent wordt vanaf 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent gebruikt in uw Microsoft Sentinel-implementatie, wordt u aangeraden te migreren naar de AMA.
Vereisten
- Begin met de documentatie van Azure Monitor, die een agentvergelijking en algemene informatie voor dit migratieproces biedt. Dit artikel bevat specifieke details en verschillen voor Microsoft Sentinel.
Migreren naar de Azure Monitor-agent
Elke organisatie heeft verschillende metrische gegevens over succes en interne migratieprocessen. Deze sectie bevat richtlijnen die u kunt overwegen bij het migreren van de Log Analytics MMA/OMS-agent naar de AMA, met name voor Microsoft Sentinel.
Neem de volgende stappen op in uw migratieproces:
Zorg ervoor dat u de benodigde vereisten en andere overwegingen hebt bekeken, zoals beschreven in de documentatie voor Azure Controleren. Zie Voordat u begint voor meer informatie.
Voer een proof-of-concept uit om te testen hoe de AMA gegevens verzendt naar Microsoft Sentinel, idealiter in een ontwikkel- of sandbox-omgeving.
Installeer in Microsoft Sentinel de oplossing Windows-beveiliging Events Microsoft Sentinel. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
Als u uw Windows-machines wilt verbinden met de Windows-beveiliging Event Connector, begint u met de pagina Windows-beveiliging Gebeurtenissen via AMA-gegevensconnector in Microsoft Sentinel. Zie Windows-verbindingen op basis van een agent voor meer informatie.
Ga verder met de pagina Beveiligingsevenementen via verouderde agentgegevensconnector . Selecteer op het tabblad Instructies onder Configuratiestap>2>Selecteer welke gebeurtenissen u wilt streamen de optie Geen. Hiermee configureert u uw systeem zodat u geen beveiligingsincidenten ontvangt via de MMA/OMS, maar andere gegevensbronnen die afhankelijk zijn van deze agent, blijven werken. Deze stap is van invloed op alle computers die rapporteren aan uw huidige Log Analytics-werkruimte.
Belangrijk
Het opnemen van gegevens uit dezelfde bron met behulp van twee verschillende typen agents resulteert in dubbele opnamekosten en dubbele gebeurtenissen in de Microsoft Sentinel werkruimte.
Als u beide gegevensconnectors tegelijkertijd wilt laten werken, raden we u aan dit slechts gedurende een beperkte tijd te doen voor een benchmarking of testvergelijkingsactiviteit, idealiter in een afzonderlijke testwerkruimte.
Meet het succes van uw proof of concept.
Gebruik voor deze stap de werkmap AMA-migratietracker , waarin de servers worden weergegeven die rapporteren aan uw werkruimten en of de verouderde MMA, de AMA of beide agents zijn geïnstalleerd. U kunt deze werkmap ook gebruiken om de DDR's weer te geven die gebeurtenissen van uw machines verzamelen en welke gebeurtenissen ze verzamelen.
Zorg ervoor dat u uw abonnement en resourcegroep bovenaan de werkmap selecteert om gegevens voor uw omgeving weer te geven. Bijvoorbeeld:
Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel voor meer informatie.
Succescriteria moeten een statistische analyse en vergelijking omvatten van de kwantitatieve gegevens die worden opgenomen door de MMA/OMS- en AMA-agents op dezelfde host:
Meet uw succes over een vooraf gedefinieerde periode die een normale workload voor uw omgeving vertegenwoordigt.
Zorg er tijdens het testen voor dat u elke nieuwe functie van de AMA test, zoals Linux multi-homing, Windows-gebeurtenisfiltering, enzovoort.
Plan uw implementatie voor AMA-agents in uw productieomgeving volgens het risicoprofiel en wijzigingsprocessen van uw organisatie.
Rol de nieuwe agent uit in uw productieomgeving en voer een laatste test uit van de AMA-functionaliteit.
Verbreek alle gegevensconnectors die afhankelijk zijn van de verouderde connector, zoals beveiligingsevenementen met MMA. Laat de nieuwe connector, zoals Windows-beveiliging Gebeurtenissen met AMA, actief.
Hoewel u zowel de verouderde MMA/OMS- als de AMA-agents parallel kunt laten uitvoeren, kunt u dubbele kosten en gegevens voorkomen door ervoor te zorgen dat elke gegevensbron slechts één agent gebruikt om gegevens naar Microsoft Sentinel te verzenden.
Controleer uw Microsoft Sentinel werkruimte om ervoor te zorgen dat al uw gegevensstromen zijn vervangen met behulp van de nieuwe AMA-connectors.
Verwijder de verouderde agent. Zie De Azure Log Analytics-agent beheren voor meer informatie.
Voor uw productie-implementatie wordt u aangeraden de AMA voor elke gegevensbron te configureren. Als u problemen met duplicatie wilt oplossen, raadpleegt u de relevante veelgestelde vragen in de Azure Monitor-documentatie.
Verwante onderwerpen
Zie voor meer informatie: