Aracılığıyla paylaş


Microsoft Sentinel için AMA geçişi

Bu makalede, mevcut, eski bir Log Analytics Aracısı (MMA/OMS) varsa ve Microsoft Sentinel ile çalışırken Azure İzleyici Aracısı'na (AMA) geçiş işlemi açıklanmaktadır.

Log Analytics aracısı 31 Ağustos 2024 itibarıyla kullanımdan kaldırılmıştır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçiş yapmanızı öneririz.

Önkoşullar

Azure İzleyici Aracısına Geçiş

Her kuruluşun farklı başarı ölçümleri ve iç geçiş işlemleri olacaktır. Bu bölümde, Log Analytics MMA/OMS aracısından AMA'ya( özellikle Microsoft Sentinel için) geçiş yaparken göz önünde bulundurulması gereken önerilen yönergeler sağlanır.

Geçiş işleminize aşağıdaki adımları ekleyin:

  1. Azure İzleyici belgelerinde belirtildiği gibi gerekli önkoşulları ve diğer önemli noktaları gözden geçirdiğinizden emin olun. Daha fazla bilgi için bkz . Başlamadan önce.

  2. AMA'nın microsoft Sentinel'e verileri nasıl gönderdiğini test etmek için ideal olarak geliştirme veya korumalı alan ortamında bir kavram kanıtı çalıştırın.

    1. Microsoft Sentinel'de Windows Güvenliği Olayları Microsoft Sentinel çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

    2. Windows makinelerinizi Windows Güvenliği Olay bağlayıcısına bağlamak için Microsoft Sentinel'deki AMA veri bağlayıcısı aracılığıyla olaylar Windows Güvenliği ile başlayın. Daha fazla bilgi için bkz . Windows aracı tabanlı bağlantılar.

    3. Eski Aracı veri bağlayıcısı aracılığıyla Güvenlik Olayları sayfasına geçin. Yönergeler sekmesinde, Yapılandırma>Adımı 2>Hangi olayların akışla aktarılabileceğine ilişkin seçim bölümünde Yok'a tıklayın. Bu, sisteminizi MMA/OMS aracılığıyla herhangi bir güvenlik olayı almayacak şekilde yapılandırılır, ancak bu aracıyı kullanan diğer veri kaynakları çalışmaya devam eder. Bu adım geçerli Log Analytics çalışma alanınıza rapor eden tüm makineleri etkiler.

    Önemli

    İki farklı aracı türü kullanılarak aynı kaynaktan veri alımı, Microsoft Sentinel çalışma alanında çift alım ücretlerine ve yinelenen olaylara neden olur.

    Her iki veri bağlayıcısını da aynı anda çalışır durumda tutmanız gerekiyorsa, bunu yalnızca bir karşılaştırma veya test karşılaştırma etkinliği için sınırlı bir süre için, ideal olarak ayrı bir test çalışma alanında yapmanızı öneririz.

  3. Kavram kanıtınızın başarısını ölçün.

    Bu adıma yardımcı olmak için, çalışma alanlarınıza raporlama yapan sunucuları ve eski MMA,AMA veya her iki aracıyı da yükleyip yüklemediklerini gösteren AMA geçiş izleyicisi çalışma kitabını kullanın. Bu çalışma kitabını, makinelerinizden olay toplayan DCR'leri ve topladıkları olayları görüntülemek için de kullanabilirsiniz.

    Ortamınıza ait verileri göstermek için çalışma kitabının üst kısmında aboneliğinizi ve kaynak grubunuzu seçtiğinizden emin olun. Örneğin:

    AMA geçiş izleyicisi çalışma kitabının ekran görüntüsü.

    Daha fazla bilgi için bkz . Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme.

    Başarı ölçütleri, aynı konakta MMA/OMS ve AMA aracıları tarafından alınan nicel verilerin istatistiksel analizini ve karşılaştırmasını içermelidir:

    • Ortamınız için normal bir iş yükünü temsil eden önceden tanımlanmış bir zaman aralığı boyunca başarınızı ölçün.

    • Test ederken Linux çoklu giriş, Windows olay filtreleme vb. gibi AMA tarafından sağlanan her yeni özelliği test edin.

    • Üretim ortamınızdaki AMA aracıları için dağıtımınızı kuruluşunuzun risk profiline ve değişiklik süreçlerine göre planlayın.

  4. Yeni aracıyı üretim ortamınızda dağıtın ve AMA işlevselliğinin son testini çalıştırın.

  5. MMA ile Güvenlik Olayları gibi eski bağlayıcıyı kullanan tüm veri bağlayıcılarının bağlantısını kesin. Ama ile Windows Güvenliği Olayları gibi yeni bağlayıcıyı çalışır durumda bırakın.

    Hem eski MMA/OMS hem de AMA aracılarının paralel çalışmasını sağlayabilirsiniz ancak her veri kaynağının Microsoft Sentinel'e veri göndermek için yalnızca bir aracı kullandığından emin olarak yinelenen maliyetleri ve verileri önleyin.

  6. Tüm veri akışlarınızın yeni AMA tabanlı bağlayıcılar kullanılarak değiştirilip değiştirilmediğinden emin olmak için Microsoft Sentinel çalışma alanınızı denetleyin.

  7. Eski aracıyı kaldırın. Daha fazla bilgi için bkz . Azure Log Analytics aracısını yönetme.

Üretim dağıtımınız için, her veri kaynağı için AMA'yı yapılandırmanızı öneririz. Yinelemeyle ilgili sorunları gidermek için Azure İzleyici belgelerindeki ilgili SSS'lere bakın.

Daha fazla bilgi için bkz.