Migración de AMA para Microsoft Sentinel

  • Artículo

En este artículo se describe el proceso de migración al agente de Azure Monitor (AMA) cuando tiene un agente de Log Analytics (MMA/OMS) existente y está trabajando con Microsoft Sentinel.

El agente de Log Analytics se retira a partir del 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, se recomienda migrar a AMA.

Requisitos previos

  • Comience con la documentación de Azure Monitor, que proporciona una comparación de agentes e información general para este proceso de migración. En este artículo, se proporcionan detalles y diferencias específicos para Microsoft Sentinel.

Migración al agente de Azure Monitor

Cada organización tendrá diferentes métricas de éxito y procesos de migración internos. En esta sección, se proporcionan instrucciones sugeridas que se deben tener en cuenta al migrar desde el agente de MMA/OMS de Log Analytics a AMA, específicamente para Microsoft Sentinel.

Incluya los pasos siguientes en el proceso de migración:

  1. Asegúrese de que ha revisado los requisitos previos necesarios y otras consideraciones, tal como se documenta en la documentación de Azure Monitor. Para más información, consulte la sección Antes de empezar.

  2. Ejecute una prueba de concepto para probar cómo envía AMA los datos a Microsoft Sentinel, idealmente en un entorno de desarrollo o espacio aislado.

    1. En Microsoft Sentinel, instale la solución Seguridad de Windows Events de Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

    2. Para conectar las máquinas Windows al conector de eventos de Seguridad de Windows, comience con la Seguridad de Windows Eventos a través de la página del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Conexiones basadas en agentes de Windows.

    3. Continúe con la página Eventos de seguridad a través del conector de datos del Agente heredado. En la pestaña Instrucciones, en Paso de configuración>2>Seleccione qué eventos se van a transmitir, seleccione Ninguno. Esto configura el sistema para que no reciba ningún evento de seguridad mediante MMA/OMS, pero otros orígenes de datos que dependen de este agente seguirán funcionando. Este paso afecta a todas las máquinas que informan al área de trabajo actual de Log Analytics.

    Importante

    La ingesta de datos del mismo origen mediante dos tipos diferentes de agentes dará lugar a cargos por ingesta doble y eventos duplicados en el área de trabajo de Microsoft Sentinel.

    Si tiene que mantener ambos conectores de datos en ejecución simultáneamente, se recomienda hacerlo solo durante un tiempo limitado para una prueba comparativa o una actividad de comparación de pruebas, idealmente en un área de trabajo de prueba independiente.

  3. Mida el éxito de la prueba de concepto.

    Para ayudar con este paso, use el libro Seguimiento de migración de AMA, que muestra los servidores que informan a las áreas de trabajo y si tienen instalado MMA heredado, AMA o ambos agentes. También puede usar este libro para ver los DCR que recopilan eventos de las máquinas y qué eventos recopilan.

    Asegúrese de seleccionar la suscripción y el grupo de recursos en la parte superior del libro para mostrar los datos de su entorno. Por ejemplo:

    Captura de pantalla del libro de seguimiento de migración AMA.

    Para más información, consulte Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel.

    Los criterios de éxito deben incluir un análisis estadístico y una comparación de los datos cuantitativos ingeridos por los agentes MMA/OMS y AMA en el mismo host:

    • Mida el éxito durante un período de tiempo predefinido que represente una carga de trabajo normal para su entorno.

    • Durante las pruebas, asegúrese de probar cada nueva característica proporcionada por AMA, como el hospedaje múltiple de Linux, el filtrado de eventos de Windows, etc.

    • Planee el lanzamiento de los agentes AMA en el entorno de producción según el perfil de riesgo y los procesos de cambio de su organización.

  4. Lleve a cabo el lanzamiento del nuevo agente en el entorno de producción y ejecute una prueba final de la funcionalidad de AMA.

  5. Desconecte los conectores de datos que se basan en el conector heredado, como los eventos de seguridad con MMA. Deje en ejecución el nuevo conector, por ejemplo, los eventos de seguridad de Windows con AMA.

    Aunque puede hacer que tanto los agentes MMA/OMS heredados como los agentes AMA se ejecuten en paralelo, evite los costos y los datos duplicados asegurándose de que cada origen de datos usa un solo agente para enviar datos a Microsoft Sentinel.

  6. Compruebe el área de trabajo de Microsoft Sentinel para asegurarse de que todos los flujos de datos se hayan reemplazado con los nuevos conectores basados en AMA.

  7. Desinstale el agente heredado. Para más información, consulte Administración del agente de Azure Log Analytics.

Para el lanzamiento de producción, se recomienda configurar ama para cada origen de datos. Para solucionar cualquier problema de duplicación, consulte las preguntas más frecuentes pertinentes en la documentación de Azure Monitor.

Contenido relacionado

Para más información, vea: