Aggiornare l'agente connettore dati Microsoft Sentinel per applicazioni SAP

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra come aggiornare un Microsoft Sentinel già esistente per il connettore dati SAP alla versione più recente, in modo da poter usare le funzionalità e i miglioramenti più recenti.

Durante il processo di aggiornamento dell'agente del connettore dati, potrebbe verificarsi un breve tempo di inattività di circa 10 secondi. Per garantire l'integrità dei dati, una voce di database archivia il timestamp dell'ultimo log recuperato. Al termine dell'aggiornamento, il processo di recupero dei dati riprende dall'ultimo log recuperato, impedendo i duplicati e garantendo un flusso di dati facile.

Gli aggiornamenti automatici o manuali descritti in questo articolo sono rilevanti solo per l'agente connettore SAP e non per la soluzione Microsoft Sentinel per le applicazioni SAP. Per aggiornare correttamente la soluzione, l'agente deve essere aggiornato. La soluzione viene aggiornata separatamente, come qualsiasi altra soluzione Microsoft Sentinel.

Il contenuto di questo articolo è rilevante per i team di sicurezza, infrastruttura e SAP BASIS .

Nota

Questo articolo è pertinente solo per l'agente del connettore dati e non è pertinente per il connettore dati senza agente SAP.

Prerequisiti

Prima di iniziare:

Configurare gli aggiornamenti automatici per l'agente connettore dati SAP (anteprima)

Configurare gli aggiornamenti automatici per l'agente connettore, per tutti i contenitori esistenti o per un contenitore specifico.

I comandi descritti in questa sezione creano un processo cron che viene eseguito quotidianamente, controlla la disponibilità di aggiornamenti e aggiorna l'agente alla versione più recente di Disponibilità generale. I contenitori che eseguono una versione di anteprima dell'agente più recente della versione ga più recente non vengono aggiornati. I file di log per gli aggiornamenti automatici si trovano nel computer dell'agente di raccolta, all'indirizzo /var/log/sapcon-sentinel-register-autoupdate.log.

Dopo aver configurato gli aggiornamenti automatici per un agente una volta, viene sempre configurato per gli aggiornamenti automatici.

Importante

L'aggiornamento automatico dell'agente connettore dati SAP è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

Configurare gli aggiornamenti automatici per tutti i contenitori esistenti

Per attivare gli aggiornamenti automatici per tutti i contenitori esistenti con un agente SAP connesso, eseguire il comando seguente nel computer dell'agente di raccolta:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

Se si usano più contenitori, il processo cron aggiorna l'agente in tutti i contenitori esistenti al momento dell'esecuzione del comando originale. Se si aggiungono contenitori dopo aver creato il processo cron iniziale, i nuovi contenitori non vengono aggiornati automaticamente. Per aggiornare questi contenitori, eseguire un comando aggiuntivo per aggiungerli.

Configurare gli aggiornamenti automatici in un contenitore specifico

Per configurare gli aggiornamenti automatici per un contenitore o contenitori specifici, ad esempio se sono stati aggiunti contenitori dopo l'esecuzione del comando di automazione originale, eseguire il comando seguente nel computer dell'agente di raccolta:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

In alternativa, nel file /opt/sapcon/[SID o GUID agente]/settings.json definire il auto_update parametro per ogni contenitore come true.

Disattivare gli aggiornamenti automatici

Per disattivare gli aggiornamenti automatici per un contenitore o un contenitore, aprire il file /opt/sapcon/[SID o GUID agente]/settings.json per la modifica e definire il auto_update parametro per ognuno dei contenitori come false.

Aggiornare manualmente l'agente del connettore dati SAP

Per aggiornare manualmente l'agente del connettore, assicurarsi di disporre delle versioni più recenti degli script di distribuzione pertinenti dal repository GitHub Microsoft Sentinel.

Per altre informazioni, vedere Microsoft Sentinel soluzione per le applicazioni SAP - Informazioni di riferimento sul file di aggiornamento dell'agente del connettore dati.

Nel computer dell'agente del connettore dati eseguire:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Il contenitore Docker del connettore dati SAP nel computer viene aggiornato.

Assicurarsi di verificare la disponibilità di altri aggiornamenti, ad esempio le richieste di modifica SAP.

Verificare la versione corrente dell'agente del connettore dati

Per verificare la versione corrente dell'agente, eseguire la query seguente dalla pagina log Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Per altre informazioni sugli elementi seguenti usati nell'esempio precedente, vedere la documentazione di Kusto:

Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

Altre risorse:

Contenuto correlato

Per altre informazioni, vedere:

  • Last updated on