準備淘汰 Log Analytics 代理程式
Log Analytics 代理程式也稱為 Microsoft Monitoring Agent (MMA),將於 2024 年 8 月淘汰。 因此,適用於雲端的 Microsoft Defender 中的適用於伺服器的 Defender 和適用於 SQL 機器的 Defender 方案將會更新,並重新設計依賴 Log Analytics 代理程式的功能。
本文摘要說明代理程式淘汰的規劃。
準備適用於伺服器的 Defender
適用於伺服器的 Defender 方案會使用正式推出 (GA) 的 Log Analytics 代理程式,並針對某些功能採用 AMA 中的 Log Analytics 代理程式 (預覽版)。 這些功能將進行下列變化:
為了簡化上線,所有適用於伺服器的 Defender 安全性特性和功能都會由單一代理程式 (適用於端點的 Microsoft Defender) 提供,並由無代理程式機器掃描輔助,而完全不需要依賴 Log Analytics 代理程式或 AMA。
- 適用於伺服器的 Defender 功能 (以 AMA 為基礎) 目前處於預覽狀態,且將不會正式推出。
- 依賴 AMA 的預覽功能會持續受到支援,直到提供功能的替代版本為止,此功能將依賴適用於端點的 Defender 整合或無代理程式機器掃描功能。
- 只要在淘汰之前啟用適用於端點的 Defender 整合和無代理程式機器掃描功能,您的適用於伺服器的 Defender 部署便會是最新版本且受到支援。
特色功能
下表摘要說明如何提供適用於伺服器的 Defender 功能。 大部分的功能已使用適用於端點的 Defender 整合或無代理程式機器掃描正式推出。 其餘功能將會在 MMA 淘汰時正式推出,或是遭到淘汰。
功能 | 目前的支援 | 新的支援 | 新體驗狀態 |
---|---|---|---|
針對下層 Windows 機器 (Windows Server 2016/2012 R2) 的適用於端點的 Defender 整合 | 舊版適用於端點的 Defender 感應器 (以 Log Analytics 代理程式為基礎) | 統一代理程式整合 | - 搭配 MDE 整合代理程式的功能已正式推出。 - 搭配舊版「適用於端點的 Defender」感應器、使用 Log Analytics 代理程式的功能將於 2024 年 8 月淘汰。 |
OS 層級威脅偵測 | Log Analytics 代理程式 | 適用於端點的 Defender 代理程式整合 | 適用於端點的 Defender 代理程式的功能已正式推出。 |
自適性應用程式控制 | Log Analytics 代理程式 (GA)、AMA (預覽) | --- | 自適性應用程式控制功能計劃在 2024 年 8 月淘汰。 |
端點保護探索建議 | 使用 Log Analytics 代理程式 (GA)、AMA (預覽) 透過基礎雲端安全性態勢管理 (CSPM) 方案和適用於伺服器的 Defender 取得建議 | 無代理程式機器掃描 | - 做為適用於伺服器的 Defender 方案 2 和 Defender CSPM 方案的一部分,搭配無代理程式機器掃描的功能已於 2024 年初發行預覽版。 - 支援 Azure VM、Google Cloud Platform (GCP) 執行個體和 Amazon Web Services (AWS) 執行個體。 不支援內部部署機器。 |
遺漏 OS 更新建議 | 使用 Log Analytics 代理程式在基礎 CSPM 和適用於伺服器的 Defender 方案中取得建議。 | 與更新管理員、Microsoft 整合 | 以 Azure 更新管理員整合為基礎的新建議已正式推出,沒有代理程式相依性。 |
OS 設定錯誤 (Microsoft Cloud 安全性基準) | 使用 Log Analytics 代理程式、來賓設定延伸模組 (預覽) 透過基礎 CSPM 和適用於伺服器的 Defender 方案取得建議。 | 來賓設定延伸模組,做為適用於伺服器的 Defender 方案 2 的一部分。 | - 基於來賓設定延伸模組的功能將於 2024 年 9 月正式發行 - 僅適用於 適用於雲端的 Defender 客戶:Log Analytics 代理程式的功能將在 2024 年 11 月淘汰。 - Docker-hub 和 Microsoft Azure 虛擬機器擴展集對於這項功能支援將於 2024 年 8 月淘汰。 |
檔案完整性監視 | Log Analytics 代理程式、AMA (預覽) | 適用於端點的 Defender 代理程式整合 | 適用於端點的 Defender 代理程式功能將於 2024 年 8 月推出。 - 僅適用於 適用於雲端的 Defender 客戶:Log Analytics 代理程式的功能將在 2024 年 11 月淘汰。 - 當適用於端點的 Defender 整合推出時,搭配 AMA 的功能將會淘汰。 |
針對資料擷取的 500 MB 權益 (部分機器翻譯)
若要保留所支援資料類型的 500 MB 免費資料擷取允許額度,您需要從 MMA 遷移至 AMA。
注意
權益會授與屬於已啟用適用於伺服器的 Defender 方案 2 訂用帳戶的每個 AMA 機器。
此權益會授與機器所回報的目標工作區。
應該會在相關的工作區上安裝安全性解決方案。 在這裡深入了解執行方式。
如果機器向多個工作區報告,則只會向其中一個工作區授與權益。
深入了解如何部署 AMA。
針對機器上的 SQL 伺服器,建議您移轉至 SQL Server 目標 Azure 監視器代理程式 (AMA) 的自動佈建程序。
透過 Log Analytics 代理程式上線舊版適用於伺服器的 Defender 方案 2 的變更
根據 Log Analytics 代理程式和使用 Log Analytics 工作區,將伺服器上線至適用於伺服器的 Defender 方案 2 的舊版方法也會設定為淘汰:
使用 Log Analytics 代理程式和工作區將新的非 Azure 機器上線至適用於伺服器的 Defender 上線體驗,會從適用於雲端的 Defender 入口網站的 [清查] 和 [開始使用] 刀鋒視窗中移除。
若要避免在連線到 Log Analytics 工作區的受影響機器上遺失安全性涵蓋範圍,並淘汰代理程式:
如果您使用舊版方法將非 Azure 伺服器(內部部署和多雲端)上線,您現在應該透過已啟用 Azure Arc 的伺服器將這些機器連線到適用於伺服器的 Defender 方案 2 Azure 訂用帳戶和連接器。 深入了解 大規模部署Arc機器。
- 如果您使用舊版方法在選取的 Azure VM 上啟用適用於伺服器的 Defender 方案 2,建議在這些機器的 Azure 訂用帳戶上啟用適用於伺服器的 Defender 方案 2。 接著,您可以使用適用於伺服器的 Defender 每個資源設定,將個別機器從適用於伺服器的 Defender 涵蓋範圍中排除。
這是透過舊版方法將每部伺服器上線至 Defender for Servers 方案 2 的必要動作摘要:
電腦類型 | 保留安全性涵蓋範圍所需的動作 |
---|---|
內部部署伺服器 | 已上線至 Arc ,並使用適用於伺服器的 Defender 方案 2 連線到訂用帳戶 |
Azure 虛擬機器 | 使用適用於伺服器的 Defender 方案 2 連線到訂用帳戶 |
多部雲端伺服器 | 使用適用於伺服器的 Azure Arc 佈建和適用於伺服器的 Defender 方案 2 連線到多重雲端連接器 |
端點保護建議體驗 - 變更和移轉指導
端點探索和建議目前由適用於雲端的 Defender 基礎 CSPM 和適用於伺服器的 Defender 方案使用 Log Analytics 代理程式正式推出,或透過 AMA 提供預覽版。 此體驗將會由使用無代理程式機器掃描收集的安全性建議所取代。
端點保護建議由兩個階段組成。 第一個階段是探索端點偵測和回應解決方案。 第二個是評估解決方案的設定。 下表提供每個階段目前和新體驗的詳細資料。
端點偵測和回應解決方案 - 探索
區域 | 目前體驗 (以 AMA/MMA 為基礎) | 新體驗 (以無代理程式電腦掃描為基礎) |
---|---|---|
資源需具備哪些條件才能分類為狀況良好? | 具備防毒機制。 | 具備端點偵測和回應解決方案。 |
取得建議需要哪些項目? | Log Analytics 代理程式 | 無代理程式機器掃描 |
支援哪些方案? | - 基礎 CSPM (免費) - 適用於伺服器的 Defender 方案 1 和方案 2 |
- Defender CSPM - 適用於伺服器的 Defender 方案 2 |
有哪些修正程式可供使用? | 安裝 Microsoft 反惡意程式碼。 | 在所選機器/訂用帳戶上安裝適用於端點的 Defender。 |
端點偵測和回應解決方案 - 組態評估
區域 | 目前體驗 (以 AMA/MMA 為基礎) | 新體驗 (以無代理程式電腦掃描為基礎) |
---|---|---|
如果資源的一或多個安全性檢查狀況不良,則會分類為狀況不良。 | 三項安全性檢查: - 即時保護已關閉 - 簽章已過期 - 快速掃描和完整掃描皆已未執行七天 |
三項安全性檢查: - 防毒軟體已關閉或設定不完整 - 簽章已過期 - 快速掃描和完整掃描皆已未執行七天 |
取得建議的必要條件 | 具備反惡意程式碼解決方案 | 具備端點偵測和回應解決方案。 |
哪些建議將會淘汰?
下表摘要說明即將淘汰和取代的建議時程表。
建議 | 專員 | 支援的資源 | 取代日期 | 取代的建議 |
---|---|---|---|---|
您的機器上應安裝端點保護 (公用) | MMA/AMA | Azure 和非 Azure (Windows 和 Linux) | 2024 年 7 月 | 新的無代理程序建議 |
應解決機器上端點保護健康情況的問題 (公開) | MMA/AMA | Azure (Windows) | 2024 年 7 月 | 新的無代理程序建議 |
應該解決虛擬機器擴展集上的端點保護健康情況失敗 | MMA | Azure 虛擬機器擴展集 | 2024 年 8 月 | 沒有取代項目 |
應在虛擬機器擴展集上安裝端點保護解決方案 | MMA | Azure 虛擬機器擴展集 | 2024 年 8 月 | 沒有取代項目 |
機器上應該有端點保護解決方案 | MMA | 非 Azure 資源 (Windows) | 2024 年 8 月 | 沒有取代項目 |
請在您的機器上安裝 Endpoint Protection 解決方案 | MMA | Azure 和非 Azure (Windows) | 2024 年 8 月 | 新的無代理程序建議 |
應該解決機器上的端點保護健康情況問題 | MMA | Azure 和非 Azure (Windows 和 Linux) | 2024 年 8 月 | 新的無代理程序建議。 |
以無代理程式機器掃描為基礎的新建議體驗支援跨多雲端電腦的 Windows 和 Linux 作業系統。
取代的運作方式?
- Log Analytics 代理程式或 AMA 所提供的目前建議將會逐步淘汰。
- 其中一些現有的建議將會取代為根據無代理程式機器掃描的新建議。
- 目前正式推出的建議會保留到 Log Analytics 代理程式淘汰為止。
- 當預覽版中提供新的建議時,將會取代目前的預覽版建議。
安全分數會受到什麼影響?
- 目前已正式推出的建議將繼續影響安全分數。
- 目前和即將推出的新建議位於相同的 Microsoft Cloud 安全性基準控制項之下,確保安全分數不會受到重複影響。
如何為新建議做好準備?
- 請確定適用於伺服器方案的 Defender 方案 2 或 Defender CSPM 已啟用無代理程式機器掃描。
- 如果環境適用,建議在取代的正式推出建議可用時,移除已淘汰的建議以獲得最佳體驗。 若要這樣做,請在 Azure 原則內建適用於雲端的 Defender 方案中停用建議。
檔案完整性監視體驗 - 變更和移轉指導
適用於伺服器的 Microsoft Defender 方案 2 現在提供由適用於端點的 Microsoft Defender (MDE) 整合所支援的新檔案完整性監視 (FIM) 解決方案。 一旦由 MDE 所支援的 FIM 公開,適用於雲端的 Defender 入口網站中由 AMA 體驗所支援的 FIM 體驗將被移除。 在 11 月,由 MMA 所支援的 FIM 將會淘汰。
從基於 AMA 的 FIM 移轉
如果您目前使用基於 AMA 的 FIM:
從 5 月 30 日開始,您將無法再透過適用於雲端的 Defender 入口網站將新的訂閱或伺服器上線到基於 AMA 的 FIM 和變更追蹤延伸模組,以及檢視變更。
如果您想要繼續取用 AMA 所收集的 FIM 事件,您可以手動連線到相關的工作區,並使用以下查詢來檢視變更追蹤資料表中的變更:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
如果您想要繼續加入新的範圍或設定監視規則,您可以手動使用資料連線規則來設定或自訂資料收集的各個層面。
適用於雲端的 Microsoft Defender 建議停用基於 AMA 的 FIM,並在新的 FIM 版本發行時將您的環境上線至基於適用於端點的 Defender 的新 FIM 版本。
停用基於 AMA 的 FIM
若要停用基於 AMA 的 FIM,請移除 Azure 變更追蹤解決方案。 如需詳細資訊,請參閱移除變更追蹤解決方案。
或者,您可以移除相關的檔案變更追蹤資料收集規則 (DCR)。 如需詳細資訊,請參閱 Remove-AzDataCollectionRuleAssociation 或 Remove-AzDataCollectionRule。
在您使用上述其中一種方法來停用檔案事件收集之後:
- 新的事件會在選取的範圍上停止收集。
- 已收集的歷程記錄事件仍會儲存在變更追蹤區段的 ConfigurationChange 資料表底下的相關工作區中。 根據此工作區中所定義的保留期,這些事件將在相關工作區中保持可用的狀態。 如需詳細資訊,請參閱保留和封存的運作方式。
從基於 Log Analytics 代理程式 (MMA) 的 FIM 移轉
如果您目前使用基於 Log Analytics 代理程式 (MMA) 的 FIM:
基於 Log Analytics 代理程式 (MMA) 的檔案完整性監視將於 2024 年 11 月底被取代。
適用於雲端的 Microsoft Defender 建議停用基於 MMA 的 FIM,並在新的 FIM 版本發行時將您的環境上線至基於適用於端點的 Defender 的新 FIM 版本。
停用基於 MMA 的 FIM
若要停用基於 MMA 的 FIM,請移除 Azure 變更追蹤解決方案。 如需詳細資訊,請參閱移除變更追蹤解決方案。
在您停用檔案事件收集之後:
- 新的事件會在選取的範圍上停止收集。
- 已收集的歷程記錄事件仍會儲存在變更追蹤區段的 ConfigurationChange 資料表底下的相關工作區中。 根據此工作區中所定義的保留期,這些事件將在相關工作區中保持可用的狀態。 如需詳細資訊,請參閱保留和封存的運作方式。
準備機器上適用於 SQL 的 Defender
您可以深入了解適用於 SQL Server 的 Defender 機器上 Log Analytics 代理程式的淘汰計劃。
如果您使用目前的 Log Analytics 代理程式/Azure 監視器代理程式自動佈建程序,您應該移轉至機器上 SQL Server 的新 Azure 監視器代理程式自動佈建程序。 移轉流程不會產生中斷,可為所有機器提供持續保護。
移轉至以 SQL 伺服器為目標的 AMA 自動佈建程序
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
在資料庫計劃底下,選取 [必要的動作]。
在彈出視窗中,選取 [啟用]。
選取 [儲存]。
啟用 SQL Server 目標 AMA 自動佈建程序之後,您應該停用 Log Analytics 代理程式/Azure 監視器代理程式自動佈建程序,並在所有 SQL 伺服器上將 MMA 解除安裝:
若要停用 Log Analytics 代理程式:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
在資料庫計劃底下,選取 [設定]。
將 Log Analytics 代理程式切換為 [關閉]。
選取繼續。
選取 [儲存]。
移轉規劃
建議您根據自身商務需求規劃代理程式移轉。 下表是我們的指引摘要。
您是否使用適用於伺服器的 Defender? | 這些適用於伺服器的 Defender 功能需要正式推出嗎:檔案完整性監視、端點保護建議、安全性基準建議? | 您是否在機器或 AMA 記錄集合上使用適用於 SQL 伺服器的 Defender? | 移轉計劃 |
---|---|---|---|
Yes | .是 | No | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.使用替代平台等候所有功能的正式推出 (您可以使用先前的預覽版)。 3.在功能正式推出後,請停用 Log Analytics 代理程式。 |
No | --- | No | 您現在可以移除 Log Analytics 代理程式。 |
No | --- | Yes | 1.您現在可以移轉至 AMA 的 SQL 自動佈建。 2.停用 Log Analytics/Azure 監視器代理程式。 |
Yes | .是 | Yes | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.您可以並存使用 Log Analytics 代理程式和 AMA 以取得正式推出的所有功能。 深入了解並行執行代理程式。 3.在機器上適用於 SQL 的 Defender 中移轉至 AMA 的 SQL 自動佈建。 或者,在 2024 年 4 月開始從 Log Analytics 代理程式移轉至 AMA。 4.移轉完成後,請停用 Log Analytics 代理程式。 |
是 | 無 | Yes | 1.啟用適用於端點的 Defender 整合和無代理程式機器掃描。 2.您現在可以在機器上適用於 SQL 的 Defender 中移轉至 AMA 的 SQL 自動佈建。 3.停用 Log Analytics 代理程式。 |