Migração AMA para Microsoft Sentinel

Este artigo descreve o processo de migração para o Azure Monitor Agent (AMA) quando você tem um Log Analytics Agent (MMA/OMS) herdado existente e está trabalhando com o Microsoft Sentinel.

O agente do Log Analytics foi desativado a partir de 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos migrar para a AMA.

Pré-requisitos

• Comece com a documentação do Azure Monitor, que fornece uma comparação de agente e informações gerais para esse processo de migração. Este artigo fornece detalhes específicos e diferenças para o Microsoft Sentinel.

Migrar para o Agente do Azure Monitor

Cada organização terá diferentes métricas de sucesso e processos de migração interna. Esta seção fornece orientações sugeridas a serem consideradas ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para o Microsoft Sentinel.

Inclua as seguintes etapas no processo de migração:

1. Certifique-se de que analisou os pré-requisitos necessários e outras considerações, conforme documentado na documentação do Azure Monitor. Para obter mais informações, consulte Antes de começar.

2. Execute uma prova de conceito para testar como o AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou sandbox.

   1. No Microsoft Sentinel, instale a solução Microsoft Sentinel de Eventos de Segurança do Windows. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

   2. Para conectar suas máquinas Windows ao conector de Eventos de Segurança do Windows, comece com a página Eventos de Segurança do Windows via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Conexões baseadas em agente do Windows.

   3. Continue com a página Eventos de segurança por meio do conector de dados do Legacy Agent . Na guia Instruções, em Etapa de Configuração>2>Selecione quais eventos serão transmitidos, selecione Nenhum. Isso configura seu sistema para que você não receba nenhum evento de segurança por meio do MMA/OMS, mas outras fontes de dados que dependem desse agente continuarão a funcionar. Esta etapa afeta todas as máquinas que relatam para seu espaço de trabalho atual do Log Analytics.

   Importante

   A ingestão de dados da mesma fonte usando dois tipos diferentes de agentes resultará em cobranças de ingestão dupla e eventos duplicados no espaço de trabalho do Microsoft Sentinel.

   Se você precisar manter ambos os conectores de dados funcionando simultaneamente, recomendamos que o faça apenas por um tempo limitado para uma atividade de benchmarking ou comparação de teste, idealmente em um espaço de trabalho de teste separado.

3. Meça o sucesso da sua prova de conceito.

   Para ajudar nessa etapa, use a pasta de trabalho do rastreador de migração AMA, que exibe os servidores que relatam seus espaços de trabalho e se eles têm o MMA herdado, o AMA ou ambos os agentes instalados. Você também pode usar essa pasta de trabalho para exibir os DCRs coletando eventos de suas máquinas e quais eventos eles estão coletando.

   Certifique-se de selecionar sua assinatura e grupo de recursos na parte superior da pasta de trabalho para mostrar dados para seu ambiente. Por exemplo:

   

   Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.

   Os critérios de sucesso devem incluir uma análise estatística e comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo hospedeiro:

   • Meça seu sucesso durante um período de tempo predefinido que representa uma carga de trabalho normal para seu ambiente.

   • Durante o teste, certifique-se de testar cada novo recurso fornecido pela AMA, como Linux multi-homing, filtragem de eventos do Windows e assim por diante.

   • Planeje sua implementação para agentes AMA em seu ambiente de produção de acordo com o perfil de risco e os processos de mudança da sua organização.

4. Implemente o novo agente em seu ambiente de produção e execute um teste final da funcionalidade AMA.

5. Desconecte todos os conectores de dados que dependem do conector herdado, como Eventos de Segurança com MMA. Deixe o novo conector, como Eventos de Segurança do Windows com AMA, em execução.

   Embora você possa ter os agentes MMA/OMS herdados e AMA em execução em paralelo, evite custos e dados duplicados certificando-se de que cada fonte de dados use apenas um agente para enviar dados para o Microsoft Sentinel.

6. Verifique seu espaço de trabalho do Microsoft Sentinel para certificar-se de que todos os seus fluxos de dados foram substituídos usando os novos conectores baseados em AMA.

7. Desinstale o agente herdado. Para obter mais informações, consulte Gerenciar o agente do Azure Log Analytics.

Para sua distribuição de produção, recomendamos que você configure o AMA para cada fonte de dados. Para resolver quaisquer problemas de duplicação, consulte as perguntas frequentes relevantes na documentação do Azure Monitor.

Conteúdos relacionados

Para obter mais informações, consulte:

• Visão geral dos agentes do Azure Monitor
• Migrar de agentes do Log Analytics
• Conexões baseadas em agente do Windows