次の方法で共有

Microsoft Sentinel の AMA 移行

  • [アーティクル]

この記事では、既存のレガシ Log Analytics エージェント (MMA/OMS)があり、Microsoft Sentinel と連携している場合の Azure Monitor エージェント (AMA) への移行プロセスについて説明します。

Log Analytics エージェントは、2024 年 8 月 31 日の時点で。 Microsoft Sentinel デプロイで Log Analytics エージェントを使用している場合は、AMA に移行することをお勧めします。

前提条件

  • この移行プロセスのエージェントの比較と一般的な情報を提供する Azure Monitor のドキュメントから始めます。 この記事では、Microsoft Sentinel にとっての具体的な情報と違いについて取り上げます。

成功のメトリックと社内の移行プロセスは組織ごとに異なります。 このセクションでは、特に Microsoft Sentinel 用に、Log Analytics MMA/OMS エージェントから AMA に移行する際に考慮すべき推奨ガイダンスを紹介します。

移行プロセスには、次の手順を含めるようにします

  1. Azure Monitor のドキュメントに記載されているように、必要な前提条件とその他の考慮事項を確認していることを確認します。 詳細については、「開始する前に」を参照してください。

  2. Microsoft Sentinel に対して AMA からどのようにデータが送信されるのかをテストする概念実証を、可能であれば開発環境またはサンドボックス環境で行います。

    1. Microsoft Sentinel で、Windows セキュリティ イベント Microsoft Sentinel ソリューションをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

    2. Windows マシンを Windows セキュリティ イベント コネクタに接続するには Microsoft Sentinel の AMA データ コネクタを使用したWindows セキュリティ イベントページから開始します。 詳細については、「Windows エージェントベースの接続」を参照してください。

    3. レガシ エージェント経由のセキュリティ イベントデータ コネクタ ページに進みます。 [ Instructions ] タブの [ Configuration>Step 2>ストリームするイベントを選択しますNone を選択します。 これで、MMA/OMS からセキュリティ イベントを受け取らないようにシステムが構成されます。ただし、このエージェントを利用する他のデータ ソースは引き続き正しく動作します。 この手順は、現在の Log Analytics ワークスペースをレポート先とするすべてのマシンに影響します。

    重要

    2 種類のエージェントを使用して同じソースからデータを取り込んだ場合、インジェスト料金が二重に発生し、また Microsoft Sentinel ワークスペースにもイベントの重複が生じます。

    同時に両方のデータ コネクタを実行したままにする必要がある場合、ベンチマーク (比較テストの作業) のために限られた時間だけ、理想的には独立したテスト ワークスペース内で行うことをお勧めします。

  3. 概念実証の成功を評価します。

    この手順を効率よく行うために、AMA 移行トラッカー ブックを使用してください。自分のワークスペースをレポート先とするサーバーが表示され、そこにインストールされているエージェントが、レガシ MMA か、AMA か、またはその両方かが表示されます。 また、マシンからイベントを収集している DCR とその収集対象になっているイベントも、このブックを使用して確認できます。

    ブックの上部にあるサブスクリプションとリソース グループを選択して、環境のデータを表示してください。 次に例を示します。

    AMA 移行トラッカー ブックのスクリーンショット。

    詳細については、「Microsoft Sentinel でブックを使用してデータを視覚化および監視する」を参照してください。

    成功の基準には、同じホストの MMA/OMS および AMA エージェントによって取り込まれた定量的データの統計的分析と比較を含めるようにしてください。

    • ご利用の環境の標準的なワークロードを表す定義済みの時間で成功を評価します。

    • テスト中は、Linux マルチホームや Windows イベント フィルタリングなど、AMA に新たに導入された各機能を必ずテストしてください。

    • 運用環境に対する AMA エージェントのロールアウトを、組織のリスク プロファイルと変更プロセスに沿って計画します。

  4. 運用環境に新しいエージェントをロールアウトして、AMA 機能の最終テストを行います。

  5. MMA を使用したセキュリティ イベントなど、レガシ コネクタが利用されているデータ コネクタを切断します。 AMA を使用した Windows セキュリティ イベントなど、新しいコネクタは実行したままにします。

    レガシ MMA/OMS と AMA の両方のエージェントを並列に実行することもできますが、Microsoft Sentinel にデータを送信するエージェントは各データ ソースにつき 1 つだけにして、コストとデータの重複を防ぐようにしてください。

  6. Microsoft Sentinel ワークスペースをチェックして、すべてのデータ ストリームが新しい AMA ベースのコネクタを使用して置き換えられていることを確かめます。

  7. レガシ エージェントをアンインストールします。 詳細については、「 Azure Log Analytics エージェントの管理」を参照してください。

運用環境のロールアウトでは、データ ソースごとに AMA を構成することをお勧めします。 重複の問題に対処するには、Azure Monitor のドキュメントで、関連する FAQ を参照してください。

関連するコンテンツ

詳細については、以下を参照してください: