Freigeben über

Aktualisieren des Datenconnector-Agents für Microsoft Sentinel für SAP-Anwendungen

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel erfahren Sie, wie Sie einen bereits vorhandenen Microsoft Sentinel für SAP-Datenconnector auf die aktuelle Version aktualisieren, damit Sie die neuesten Features und Verbesserungen verwenden können.

Es kann während des Updatevorgangs des Datenconnector-Agents zu einer kurzen Downtime von ca. 10 Sekunden kommen. Um die Datenintegrität sicherzustellen, der Zeitstempel des letzten abgerufenen Protokolls in einem Datenbankeintrag gespeichert. Nach Abschluss des Updates wird der Datenabruf mit dem letzten abgerufenen Protokoll fortgesetzt, sodass Duplikate verhindert werden und ein nahtloser Datenfluss sichergestellt wird.

Die in diesem Artikel beschriebenen automatischen oder manuellen Updates sind nur für den SAP-Connector-Agent und nicht für die Microsoft Sentinel-Lösung für SAP-Anwendungen relevant. Um die Lösung erfolgreich zu aktualisieren, muss Ihr Agent auf dem neuesten Stand sein. Die Lösung wird separat aktualisiert, so wie jede andere Microsoft Sentinel-Lösung.

Die Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams relevant.

Hinweis

Dieser Artikel ist nur für den Datenkonnektor-Agent relevant und ist für den SAP Agentless Data Connector (eingeschränkte Vorschau) nicht relevant.

Voraussetzungen

Vorbereitungen:

Konfigurieren automatischer Updates für den SAP-Datenconnector-Agent (Vorschau)

Konfigurieren Sie automatische Updates für den Connector-Agent, entweder für alle vorhandenen Container oder einen bestimmten Container.

Die in diesem Abschnitt beschriebenen Befehle erstellen einen Cronjob, der täglich ausgeführt wird, nach Updates sucht und den Agent auf die aktuelle GA-Version aktualisiert. Container, in denen eine Vorschauversion des Agents ausgeführt wird, die neuer als die aktuelle GA-Version ist, werden nicht aktualisiert. Die Protokolldateien für automatische Updates befinden sich auf dem Sammlercomputer unter /var/log/sapcon-sentinel-register-autoupdate.log.

Nachdem Sie einmal automatische Updates für einen Agent konfiguriert haben, ist er immer für automatische Updates konfiguriert.

Wichtig

Die automatische Aktualisierung des SAP-Datenconnectors-Agents befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Konfigurieren automatischer Updates für alle vorhandenen Container

Um automatische Updates für alle vorhandenen Container mit einem verbundenen SAP-Agent zu aktivieren, führen Sie den folgenden Befehl auf dem Sammlercomputer aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

Wenn Sie mehrere Containern verwenden, aktualisiert der Cronjob den Agent in allen Containern, die zum Zeitpunkt der Ausführung des ursprünglichen Befehls vorhanden waren. Wenn Sie nach der Ausführung des Cronjobs Container hinzufügen, werden diese nicht automatisch aktualisiert. Um diese Container zu aktualisieren, führen Sie einen zusätzlichen Befehl aus, um sie hinzuzufügen.

Konfigurieren automatischer Updates für einen bestimmten Container

Um automatische Updates für einen oder mehrere spezifische Container zu konfigurieren (z. B. wenn Sie Container nach dem Ausführen des ursprünglichen Automatisierungsbefehls hinzugefügt haben), führen Sie den folgenden Befehl auf dem Sammlercomputer aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Definieren Sie alternativ in der Datei /opt/sapcon/[SID oder Agent-GUID]/settings.json den auto_update-Parameter für jeden Container mit true.

Deaktivieren automatischer Updates

Um automatische Updates für einen oder mehrere Container zu deaktivieren, öffnen Sie die Datei /opt/sapcon/[SID oder Agent-GUID]/settings.json für die Bearbeitung und definieren den auto_update-Parameter für jeden Container mit false.

Manuelle Aktualisierung des SAP-Datenconnector-Agents

Um den Connector-Agent manuell zu aktualisieren, vergewissern Sie sich, dass Sie über die aktuellen Versionen der relevanten Bereitstellungsskripts aus dem GitHub-Repository für Microsoft Sentinel verfügen.

Weitere Informationen finden Sie in Referenz zur Updatedatei für den Datenconnector für die Microsoft Sentinel-Lösung für SAP-Anwendungen.

Führen Sie auf dem Computer des Datenconnector-Agents Folgendes aus:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Der Docker-Container des SAP-Datenconnectors auf Ihrem Computer wird aktualisiert.

Suchen Sie unbedingt nach allen verfügbaren Updates suchen, z. B. SAP-Änderungsanforderungen.

Überprüfen der aktuellen Version Ihres Datenkonnektor-Agents

Führen Sie die folgende Abfrage auf der Microsoft Sentinel-Seite Protokolle aus, um die aktuelle Version Ihres Agents zu überprüfen:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter Kusto-Abfragesprache (Kusto Query Language, KQL) – Übersicht.

Weitere Ressourcen:

Zugehöriger Inhalt

Weitere Informationen finden Sie unter: