Bagikan melalui

Migrasi AMA untuk Microsoft Sentinel

  • Artikel

Artikel ini menjelaskan proses migrasi ke Agen Azure Monitor (AMA) saat Anda memiliki Agen Analitik Log (MMA/OMS) warisan yang sudah ada, dan bekerja dengan Microsoft Sentinel.

Agen Analitik Log dihentikan per 31 Agustus 2024. Jika Anda menggunakan agen Analitik Log dalam penyebaran Microsoft Azure Sentinel, kami sarankan Anda bermigrasi ke AMA.

Prasyarat

  • Mulailah dengan dokumentasi Azure Monitor, yang menyediakan perbandingan agen dan informasi umum untuk proses migrasi ini. Artikel ini memberikan detail dan perbedaan spesifik untuk Microsoft Sentinel.

Bermigrasi ke Agen Azure Monitor

Setiap organisasi akan memiliki metrik keberhasilan dan proses migrasi internal yang berbeda. Bagian ini memberikan panduan yang disarankan untuk dipertimbangkan saat bermigrasi dari agen MMA/OMS Log Analytics ke AMA, khususnya untuk Microsoft Sentinel.

Sertakan langkah-langkah berikut dalam proses migrasi Anda:

  1. Pastikan Anda telah meninjau prasyarat yang diperlukan dan pertimbangan lain seperti yang didokumenkan dalam dokumentasi Azure Monitor. Untuk informasi selengkapnya, lihat Sebelum Memulai.

  2. Jalankan bukti konsep untuk menguji cara AMA mengirimkan data ke Microsoft Sentinel, idealnya dalam lingkungan pengembangan atau kotak pasir.

    1. Di Microsoft Azure Sentinel, instal solusi Keamanan Windows Events Microsoft Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

    2. Untuk menyambungkan komputer Windows Anda ke konektor peristiwa Keamanan Windows, mulailah dengan peristiwa Keamanan Windows melalui halaman konektor data AMA di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat koneksi berbasis agen Windows.

    3. Lanjutkan dengan Peristiwa Keamanan melalui halaman konektor data Agen Warisan. Pada tab Instruksi, di bawah Konfigurasi>Langkah 2>Pilih peristiwa mana yang akan di-streaming, pilih Tidak Ada. Ini mengonfigurasi sistem Anda sehingga Anda tidak akan menerima peristiwa keamanan apa pun melalui MMA/OMS, tetapi sumber data lain yang mengandalkan agen ini akan terus bekerja. Langkah ini memengaruhi semua mesin yang melaporkan ke ruang kerja Log Analytics Anda saat ini.

    Penting

    Menyerap data dari sumber yang sama menggunakan dua jenis agen yang berbeda akan mengakibatkan biaya penyerapan ganda dan peristiwa duplikat di ruang kerja Microsoft Sentinel.

    Jika Anda perlu menjaga kedua konektor data berjalan secara bersamaan, kami sarankan Anda melakukannya hanya untuk waktu yang terbatas untuk pembandingan, atau menguji aktivitas perbandingan, idealnya di ruang kerja pengujian terpisah.

  3. Ukur keberhasilan bukti konsep Anda.

    Untuk membantu langkah ini, gunakan buku kerja pelacak migrasi AMA, yang menampilkan server yang melaporkan ke ruang kerja Anda, dan apakah mereka memiliki MMA lama, AMA, atau kedua agen yang diinstal. Anda juga dapat menggunakan buku kerja ini untuk melihat DDR yang mengumpulkan peristiwa dari mesin Anda, dan peristiwa mana yang mereka kumpulkan.

    Pastikan untuk memilih langganan dan grup sumber daya Anda di bagian atas buku kerja untuk memperlihatkan data untuk lingkungan Anda. Contohnya:

    Cuplikan layar buku kerja pelacak migrasi AMA.

    Untuk informasi selengkapnya, lihat Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel.

    Kriteria keberhasilan harus mencakup analisis statistik dan perbandingan data kuantitatif yang diserap oleh agen MMA/OMS dan AMA pada host yang sama:

    • Ukur kesuksesan Anda selama periode waktu yang telah ditentukan yang mewakili beban kerja normal untuk lingkungan Anda.

    • Saat pengujian, pastikan untuk menguji setiap fitur baru yang disediakan oleh AMA, seperti Linux multi-homing, Windows pemfilteran peristiwa, dan sebagainya.

    • Rencanakan peluncuran Anda untuk agen AMA di lingkungan produksi Anda sesuai dengan profil risiko organisasi Anda dan proses perubahan.

  4. Luncurkan agen baru di lingkungan produksi Anda dan jalankan pengujian akhir fungsionalitas AMA.

  5. Lepaskan konektor data apa pun yang mengandalkan konektor lama, seperti Peristiwa Keamanan dengan MMA. Biarkan konektor baru, seperti Peristiwa Keamanan Windows dengan AMA, berjalan.

    Meskipun Anda dapat memiliki MMA/OMS warisan dan agen AMA yang berjalan secara paralel, cegah biaya duplikat dan data dengan memastikan bahwa setiap sumber data hanya menggunakan satu agen guna mengirim data ke Microsoft Sentinel.

  6. Periksa ruang kerja Microsoft Sentinel Anda guna memastikan bahwa semua aliran data Anda telah diganti menggunakan konektor berbasis AMA yang baru.

  7. Hapus instalan agen warisan. Untuk informasi selengkapnya, lihat Mengelola agen Azure Log Analytics.

Untuk peluncuran produksi Anda, kami sarankan Anda mengonfigurasi AMA untuk setiap sumber data. Untuk mengatasi masalah apa pun untuk duplikasi, lihat FAQ yang relevan di dokumentasi Azure Monitor.

Konten terkait

Untuk informasi selengkapnya, lihat: