Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous montre comment mettre à jour un connecteur de données Microsoft Sentinel pour SAP déjà existant vers sa dernière version afin que vous puissiez utiliser les fonctionnalités et améliorations les plus récentes.
Pendant le processus de mise à jour de l’agent du connecteur de données, il est possible qu’il y ait un court temps d’arrêt d’environ 10 secondes. Pour veiller à l’intégrité des données, une entrée de base de données stocke le timestamp du dernier journal récupéré. Une fois la mise à jour terminée, le processus de récupération des données reprend à partir du dernier journal récupéré, ce qui empêche les doublons et assure un flux de données fluide.
Les mises à jour automatiques ou manuelles décrites dans cet article s’appliquent uniquement à l’agent du connecteur SAP, et non aux applications de la Solution Microsoft Sentinel pour SAP. Pour réussir la mise à jour de la solution, votre agent doit être à jour. La solution est mise à jour séparément, comme pour toute autre solution Microsoft Sentinel.
Le contenu de cet article est pertinent pour vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.
Note
Cet article s’applique uniquement à l’agent de connecteur de données et n’est pas pertinent pour le connecteur de données sans agent SAP (préversion limitée).
Prérequis
Avant de démarrer :
Assurez-vous d’avoir tous les prérequis pour le déploiement des applications de la Solution Microsoft Sentinel pour SAP. Pour plus d’informations, consultez Prérequis pour le déploiement des applications de la Solution Microsoft Sentinel pour SAP.
Veillez à comprendre votre architecture et vos environnements SAP et Microsoft Sentinel, notamment les machines sur lesquelles vos collecteurs et agents de connecteur sont installés.
Configurer les mises à jour automatiques pour l’agent du connecteur de données SAP (Préversion)
Configurez les mises à jour automatiques pour l’agent du connecteur sur tous les conteneurs existants ou sur un conteneur spécifique.
Les commandes décrites dans cette section créent une tâche cron qui s’exécute quotidiennement, recherche les mises à jour et met à jour l’agent vers la version en disponibilité générale la plus récente. Les conteneurs exécutant une préversion de l’agent plus récente que la dernière version en disponibilité générale ne sont pas mis à jour. Les fichiers de journal pour les mises à jour automatiques se trouvent sur l’ordinateur collecteur, sur /var/log/sapcon-sentinel-register-autoupdate.log.
Après avoir configuré une fois les mises à jour automatiques pour un agent, elles sont y toujours configurées.
Important
La mise à jour automatique de l’agent de connecteur de données SAP est actuellement en PRÉVERSION. Les Conditions supplémentaires des préversions Azure comprennent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Configurer des mises à jour automatiques pour tous les conteneurs existants
Pour activer les mises à jour automatiques pour tous les conteneurs existants avec un agent SAP connecté, exécutez la commande suivante sur l’ordinateur collecteur :
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
Si vous travaillez avec plusieurs conteneurs, la tâche cron met à jour l’agent sur tous les conteneurs existant au moment où vous avez exécuté la commande d’origine. Si vous ajoutez des conteneurs après avoir créé la tâche cron initiale, les nouveaux conteneurs ne sont pas automatiquement mis à jour. Pour mettre à jour ces conteneurs, exécutez une commande supplémentaire pour les ajouter.
Configurer des mises à jour automatiques sur un conteneur spécifique
Pour configurer les mises à jour automatiques pour un conteneur spécifique ou plusieurs conteneurs, comme si vous aviez ajouté des conteneurs après exécution de la commande d’automatisation d’origine, exécutez la commande suivante sur l’ordinateur collecteur :
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Dans le fichier /opt/sapcon/[SID ou GUID de l’agent]/settings.json, vous pouvez également définir le paramètre auto_update pour chacun des conteneurs sur true.
Désactiver les mises à jour automatiques
Pour désactiver les mises à jour automatiques d’un ou plusieurs conteneurs, ouvrez le fichier /opt/sapcon/[SID or Agent GUID]/settings.json pour modifier et définir le paramètre auto_update de chacun des conteneurs sur false.
Mettre à jour manuellement l’agent de connecteur de données SAP
Pour mettre à jour manuellement l’agent de connecteur, vérifiez que vous disposez des versions les plus récentes des scripts de déploiement appropriés du référentiel GitHub Microsoft Sentinel.
Pour plus d’informations, consultez la Référence sur le fichier de mise à jour de l’agent du connecteur de données des applications de la Solution Microsoft Sentinel pour SAP.
Sur l’ordinateur de l’agent du connecteur de données, exécutez :
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
Le conteneur Docker du connecteur de données SAP sur votre ordinateur est mis à jour.
Vérifiez si d’autres mises à jour sont disponibles, telles que les demandes de modification SAP.
Vérifiez la version actuelle de l’agent du connecteur de données
Pour vérifier la version actuelle de votre agent, exécutez la requête suivante à partir de la page Journaux de Microsoft Sentinel :
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Consultez plus d’informations sur les éléments suivants utilisés dans l’exemple précédent, dans la documentation Kusto :
- opérateur where
- Opérateur summarize
- Opérateur project
- Fonction d’agrégation arg_max()
- Fonction d’agrégation make_set()
Pour plus d’informations sur KQL, consultez Vue d’ensemble du langage de requête Kusto (KQL).
Autres ressources :
Contenu connexe
Pour plus d'informations, consultez :