Migração do AMA para o Microsoft Sentinel

Este artigo descreve o processo de migração para o AMA (Agente do Azure Monitor) quando você tem um MMA/OMS (Agente do Log Analytics herdado ) existente e está trabalhando com o Microsoft Sentinel.

O agente do Log Analytics foi desativado a partir de 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que você migre para o AMA.

Pré-requisitos

  • Comece com a documentação do Azure Monitor, que fornece uma comparação de agentes e informações gerais para esse processo de migração. Este artigo fornece detalhes e diferenças específicos para o Microsoft Sentinel.

Migrar para o agente do Azure Monitor

Cada organização terá diferentes métricas de sucesso e processos de migração internos. Esta seção fornece diretrizes sugeridas a serem consideradas ao migrar do agente MMA/OMS do Log Analytics para o AMA, especificamente para o Microsoft Sentinel.

Inclua as seguintes etapas em seu processo de migração:

  1. Verifique se você examinou os pré-requisitos necessários e outras considerações, conforme documentado na documentação do Azure Monitor. Para obter mais informações, consulte Antes de começar.

  2. Execute uma prova de conceito para testar como o AMA envia dados para o Microsoft Sentinel, idealmente em um ambiente de desenvolvimento ou de área restrita.

    1. No Microsoft Sentinel, instale a solução Eventos de Segurança do Windows do Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

    2. Para conectar seus computadores Windows ao conector de Eventos de Segurança do Windows, comece com a página Eventos de Segurança do Windows por meio do conector de dados AMA no Microsoft Sentinel. Para obter mais informações, confira Conexões baseadas em agente do Windows.

    3. Continue com a página Eventos de segurança por meio do conector de dados do Agente herdado. Na guia Instruções, em Etapa de Configuração>2>Selecione quais eventos transmitir, selecione Nenhum. Isso configura seu sistema para que você não receba nenhum evento de segurança por meio do MMA/OMS, mas outras fontes de dados que dependem desse agente continuarão a funcionar. Essa etapa afeta todos os computadores que se reportam ao seu workspace atual do Log Analytics.

    Importante

    A ingestão de dados da mesma fonte usando dois tipos diferentes de agentes resultará em cobranças de ingestão dupla e eventos duplicados no workspace do Microsoft Sentinel.

    Se você precisar manter ambos os conectores de dados em execução simultaneamente, recomendamos que você faça isso apenas por um tempo limitado para uma atividade de comparação de parâmetros ou comparação de teste, idealmente em um workspace de teste separado.

  3. Meça o sucesso de sua prova de conceito.

    Para ajudar com essa etapa, use a pasta de trabalho do rastreador de migração do AMA, que exibe os servidores que relatam aos seus workspaces e mostram se eles têm o MMA herdado, o AMA ou ambos os agentes instalados. Você também pode usar essa guia de trabalho para exibir os DCRs que coletam eventos de seus computadores e quais eventos eles estão coletando.

    Certifique-se de selecionar sua assinatura e grupo de recursos na parte superior da pasta de trabalho para mostrar dados para seu ambiente. Por exemplo:

    Captura de tela da pasta de trabalho do rastreador de migração do AMA.

    Para obter mais informações, confira Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.

    Os critérios de sucesso devem incluir uma análise estatística e uma comparação dos dados quantitativos ingeridos pelos agentes MMA/OMS e AMA no mesmo host:

    • Meça seu sucesso em um período de tempo predefinido que representa uma carga de trabalho normal para seu ambiente.

    • Durante o teste, teste cada novo recurso fornecido pelo AMA, como multi-homing do Linux, filtragem de eventos do Windows e assim por diante.

    • Planeje sua adoção para agentes AMA em seu ambiente de produção de acordo com o perfil de risco e os processos de alteração da sua organização.

  4. Distribua o novo agente para o seu ambiente de produção e execute um teste final da funcionalidade do AMA.

  5. Desconecte todos os conectores de dados que dependem do conector herdado, como Eventos de Segurança com MMA. Deixe o novo conector, como Eventos de Segurança do Windows com AMA, em execução.

    Embora você possa ter os agentes herdados AMA e MMA/OMS e AMA em execução em paralelo, evite custos e dados duplicados, fazendo com que cada fonte de dados use apenas um agente para enviar dados para o Microsoft Sentinel.

  6. Verifique seu workspace do Microsoft Sentinel para verificar se todos os fluxos de dados foram substituídos usando os novos conectores baseados em AMA.

  7. Desinstale o agente herdado. Para obter mais informações, consulte Gerenciar o agente do Azure Log Analytics.

Para sua distribuição de produção, recomendamos que você configure o AMA para cada fonte de dados. Para resolver problemas de duplicação, confira as perguntas frequentes relevantes na documentação do Azure Monitor.

Para saber mais, veja: