Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit le processus de migration vers l’agent Azure Monitor (AMA) lorsque vous disposez d’un agent Log Analytics (MMA/OMS) existant et que vous travaillez avec Microsoft Sentinel.
L’agent Log Analytics est mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de migrer vers AMA.
Configuration requise
- Commencez par la documentation Azure Monitor, qui fournit une comparaison des agents et des informations générales pour ce processus de migration. Cet article fournit des détails et des différences spécifiques pour Microsoft Sentinel.
Migrer vers l’agent Azure Monitor
Chaque organization aura des métriques de réussite et des processus de migration internes différents. Cette section fournit des conseils suggérés à prendre en compte lors de la migration de l’agent Log Analytics MMA/OMS vers AMA, en particulier pour Microsoft Sentinel.
Incluez les étapes suivantes dans votre processus de migration :
Vérifiez que vous avez passé en revue les prérequis nécessaires et d’autres considérations, comme indiqué dans la documentation Azure Monitor. Pour plus d’informations, consultez Avant de commencer.
Exécutez une preuve de concept pour tester la façon dont AMA envoie des données à Microsoft Sentinel, idéalement dans un environnement de développement ou de bac à sable.
Dans Microsoft Sentinel, installez la solution Sécurité Windows Events Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.
Pour connecter vos machines Windows au connecteur d’événements Sécurité Windows, commencez par la page Événements Sécurité Windows via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Connexions basées sur un agent Windows.
Poursuivez avec la page Événements de sécurité via le connecteur de données de l’agent hérité . Sous l’onglet Instructions , sous Étape de configuration>2>Sélectionnez les événements à diffuser en continu, sélectionnez Aucun. Cela configure votre système afin que vous ne receviez aucun événement de sécurité via MMA/OMS, mais d’autres sources de données qui s’appuient sur cet agent continueront de fonctionner. Cette étape affecte toutes les machines qui rendent compte à votre espace de travail Log Analytics actuel.
Importante
L’ingestion de données à partir de la même source à l’aide de deux types différents d’agents entraîne des frais d’ingestion doubles et des événements dupliqués dans l’espace de travail Microsoft Sentinel.
Si vous devez conserver les deux connecteurs de données en cours d’exécution simultanément, nous vous recommandons de ne le faire que pendant une durée limitée pour une activité d’évaluation ou de comparaison de test, idéalement dans un espace de travail de test distinct.
Mesurez le succès de votre preuve de concept.
Pour vous aider dans cette étape, utilisez le classeur de suivi de migration AMA , qui affiche les serveurs qui rendent compte à vos espaces de travail et indique s’ils disposent du MMA hérité, de l’AMA ou des deux agents installés. Vous pouvez également utiliser ce classeur pour afficher les DCR qui collectent les événements de vos machines et les événements qu’ils collectent.
Veillez à sélectionner votre abonnement et votre groupe de ressources en haut du classeur pour afficher les données de votre environnement. Par exemple :
Pour plus d’informations, consultez Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.
Les critères de réussite doivent inclure une analyse statistique et une comparaison des données quantitatives ingérées par les agents MMA/OMS et AMA sur le même hôte :
Mesurez votre réussite sur une période prédéfinie qui représente une charge de travail normale pour votre environnement.
Lors du test, veillez à tester chaque nouvelle fonctionnalité fournie par AMA, comme Linux multihébergement, le filtrage d’événements Windows, etc.
Planifiez votre déploiement pour les agents AMA dans votre environnement de production en fonction du profil de risque et des processus de modification de votre organization.
Déployez le nouvel agent sur votre environnement de production et exécutez un test final de la fonctionnalité AMA.
Déconnectez tous les connecteurs de données qui s’appuient sur le connecteur hérité, tels que les événements de sécurité avec MMA. Laissez le nouveau connecteur, tel que Sécurité Windows Événements avec AMA, en cours d’exécution.
Bien que vous puissiez faire en sorte que les agents MMA/OMS hérités et AMA s’exécutent en parallèle, évitez les coûts et les données en double en vous assurant que chaque source de données utilise un seul agent pour envoyer des données à Microsoft Sentinel.
Vérifiez votre espace de travail Microsoft Sentinel pour vous assurer que tous vos flux de données ont été remplacés à l’aide des nouveaux connecteurs basés sur AMA.
Désinstallez l’agent hérité. Pour plus d’informations, consultez Gérer l’agent Log Analytics Azure.
Pour votre déploiement en production, nous vous recommandons de configurer AMA pour chaque source de données. Pour résoudre les problèmes liés à la duplication, consultez les questions fréquentes (FAQ) pertinentes dans la documentation Azure Monitor.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :