AMA-Migration für Microsoft Sentinel

In diesem Artikel wird der Migrationsprozess zum Azure Monitor Agent (AMA) beschrieben, wenn Sie über einen vorhandenen, älteren Log Analytics Agent (MMA/OMS) verfügen und mit Microsoft Sentinel arbeiten.

Der Log Analytics-Agent wird ab dem 31. August 2024 eingestellt. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, zur AMA zu migrieren.

Voraussetzungen

• Beginnen Sie mit der Azure Monitor-Dokumentation, die einen Agentvergleich und allgemeine Informationen für diesen Migrationsprozess bereitstellt. Dieser Artikel enthält spezifische Details und Unterschiede für Microsoft Sentinel.

Empfohlener Migrationsplan

Jede Organisation weist unterschiedliche Metriken für den Erfolg und interne Migrationsprozesse auf. Dieser Abschnitt enthält empfohlene Anleitungen für die Migration vom Log Analytics-Agent (MMA/OMS) zum AMA, insbesondere für Microsoft Sentinel.

Schließen Sie die folgenden Schritte in Ihren Migrationsprozess ein:

1. Stellen Sie sicher, dass Sie die erforderlichen Voraussetzungen und andere Überlegungen überprüft haben, wie in der Azure Monitor-Dokumentation dokumentiert. Weitere Informationen finden Sie im Artikel zu den Vorbereitungsmaßnahmen.

2. Führen Sie einen Proof of Concept aus, um zu testen, wie der AMA Daten an Microsoft Sentinel sendet, idealerweise in einer Entwicklungs- oder Sandboxumgebung.

   1. Installieren Sie in Microsoft Sentinel die Microsoft Sentinel-Lösung Windows-Sicherheit Events. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

   2. Um Ihre Windows-Computer mit dem Windows-Sicherheit Ereignisconnector zu verbinden, beginnen Sie mit der Windows-Sicherheit Ereignisse über die Seite "AMA Data Connector" in Microsoft Sentinel. Weitere Informationen finden Sie unter Windows-Agent-basierte Verbindungen.

   3. Fahren Sie mit der Seite "Sicherheitsereignisse" über die Connectorseite für Legacy-Agent-Daten fort. Wählen Sie auf der Registerkarte "Anweisungen" unter "Konfigurationsschritt>2>" die Option "Keine" aus. Dadurch wird Ihr System so konfiguriert, dass Sie keine Sicherheitsereignisse über MMA/OMS empfangen, aber andere Datenquellen, die auf diesem Agent basieren, funktionieren weiterhin. Dieser Schritt wirkt sich auf alle Computer aus, die Berichte an Ihren aktuellen Log Analytics-Arbeitsbereich melden.

   Wichtig

   Das Erfassen von Daten aus derselben Quelle mithilfe von zwei verschiedenen Arten von Agents führt zu doppelten Erfassungsgebühren und doppelten Ereignissen im Microsoft Sentinel-Arbeitsbereich.

   Wenn Sie den Betrieb beider Datenconnectors gleichzeitig aufrechterhalten müssen, empfiehlt es sich, dies nur für einen begrenzten Zeitraum für einen Benchmarktest oder eine Testvergleichsaktivität durchzuführen, idealerweise in einem separaten Testarbeitsbereich.

3. Messen Sie den Erfolg Ihres Proof of Concept.

   Verwenden Sie zur Unterstützung für diesen Schritt die Arbeitsmappe AMA-Migrationsnachverfolgung, in der die Server angezeigt werden, die Berichte an Ihre Arbeitsbereiche melden, und ob der Legacy-MMA, der AMA oder beide Agents installiert sind. Sie können diese Arbeitsmappe auch verwenden, um die DCRs anzuzeigen, die Ereignisse von Ihren Computern sammeln, und welche Ereignisse sie sammeln.

   Stellen Sie sicher, dass Sie das Abonnement und die Ressourcengruppe oben in der Arbeitsmappe auswählen, um Daten für Ihre Umgebung anzuzeigen. Zum Beispiel:

   

   Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.

   Erfolgskriterien sollten eine statistische Analyse und einen Vergleich der quantitativen Daten umfassen, die von den MMA/OMS- und AMA-Agents auf demselben Host erfasst werden:

   • Messen Sie Ihren Erfolg über einen vordefinierten Zeitraum, der eine normale Workload für Ihre Umgebung darstellt.

   • Stellen Sie beim Testen sicher, dass Sie jedes neue Feature testen, das vom AMA bereitgestellt wird, z. B. Linux-Multi-Homing, Windows-Ereignisfilterung usw.

   • Planen Sie Ihren Rollout für AMA-Agents in Ihrer Produktionsumgebung gemäß dem Risikoprofil und den Änderungsprozessen Ihrer Organisation.

4. Führen Sie den neuen Agent in Ihre Produktionsumgebung ein, und führen Sie einen abschließenden Test der AMA-Funktionalität aus.

5. Trennen Sie alle Datenconnectors, die auf dem Legacyconnector basieren, z. B. Sicherheitsereignisse mit MMA. Behalten Sie die Ausführung des neuen Connectors, z. B. Windows-Sicherheitsereignisse mit AMA, bei.

   Sie können zwar sowohl die Legacy-MMA/OMS-Agents als auch die AMA-Agents parallel ausführen, vermeiden dabei jedoch doppelte Kosten und Daten, indem Sie sicherstellen, dass jede Datenquelle nur einen Agent verwendet, um Daten an Microsoft Sentinel zu senden.

6. Überprüfen Sie Ihren Microsoft Sentinel-Arbeitsbereich, um sicherzustellen, dass alle Ihre Datenströme durch die neuen AMA-basierten Connectors ersetzt wurden.

7. Deinstallieren Sie den Legacy-Agent. Weitere Informationen finden Sie unter Verwalten des Azure Log Analytics-Agents.

Für Ihr Produktionsrollout empfehlen wir, das AMA für jede Datenquelle zu konfigurieren. Informationen zum Beheben von Problemen durch Duplizierung finden Sie in den entsprechenden häufig gestellten Fragen in der Azure Monitor-Dokumentation.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Übersicht über die Azure Monitor Agents
• Migrieren von Log Analytics-Agents
• Auf Windows-Agent-basierende Verbindungen