Delen via

De Microsoft Sentinel-agent voor SAP-toepassingen voor gegevensconnector bijwerken

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel leest u hoe u een al bestaande Microsoft Sentinel voor SAP-gegevensconnector bijwerkt naar de nieuwste versie, zodat u de nieuwste functies en verbeteringen kunt gebruiken.

Tijdens het updateproces van de gegevensconnectoragent is er mogelijk een korte downtime van ongeveer 10 seconden. Om de gegevensintegriteit te garanderen, slaat een databasevermelding de tijdstempel van het laatst opgehaalde logboek op. Nadat de update is voltooid, wordt het proces voor het ophalen van gegevens hervat van het laatste opgehaalde logboek, waardoor duplicaten worden voorkomen en een naadloze gegevensstroom wordt gegarandeerd.

De automatische of handmatige updates die in dit artikel worden beschreven, zijn alleen relevant voor de SAP-connectoragent en niet voor de Microsoft Sentinel-oplossing voor SAP-toepassingen. Als u de oplossing wilt bijwerken, moet uw agent up-to-date zijn. De oplossing wordt afzonderlijk bijgewerkt, net zoals elke andere Microsoft Sentinel-oplossing.

Inhoud in dit artikel is relevant voor uw beveiligings-, infrastructuur- en SAP BASIS-teams .

Notitie

Dit artikel is alleen relevant voor de gegevensconnectoragent en is niet relevant voor de SAP-gegevensconnector zonder agent (beperkte preview).

Vereisten

Voordat u begint:

Automatische updates configureren voor de SAP-gegevensconnectoragent (preview)

Configureer automatische updates voor de connectoragent, voor alle bestaande containers of een specifieke container.

De opdrachten die in deze sectie worden beschreven, maken een cron-taak die dagelijks wordt uitgevoerd, controleert op updates en werkt de agent bij naar de nieuwste GA-versie. Containers met een preview-versie van de agent die nieuwer is dan de nieuwste GA-versie, worden niet bijgewerkt. Logboekbestanden voor automatische updates bevinden zich op de collectorcomputer op /var/log/sapcon-sentinel-register-autoupdate.log.

Nadat u automatische updates voor een agent eenmaal hebt geconfigureerd, wordt deze altijd geconfigureerd voor automatische updates.

Belangrijk

Het automatisch bijwerken van de SAP-gegevensconnectoragent bevindt zich momenteel in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Automatische updates configureren voor alle bestaande containers

Als u automatische updates wilt inschakelen voor alle bestaande containers met een verbonden SAP-agent, voert u de volgende opdracht uit op de collectorcomputer:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

Als u met meerdere containers werkt, werkt de cron-taak de agent bij op alle containers die bestonden op het moment dat u de oorspronkelijke opdracht hebt uitgevoerd. Als u containers toevoegt nadat u de eerste cron-taak hebt gemaakt, worden de nieuwe containers niet automatisch bijgewerkt. Voer een extra opdracht uit om deze containers bij te werken.

Automatische updates voor een specifieke container configureren

Als u automatische updates wilt configureren voor een specifieke container of containers, bijvoorbeeld als u containers hebt toegevoegd nadat u de oorspronkelijke automatiseringsopdracht hebt uitgevoerd, voert u de volgende opdracht uit op de collectorcomputer:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Afwisselend, in het bestand /opt/sapcon/[SID of agent-GUID]/settings.json definieert u de auto_update parameter voor elk van de containers als true.

Automatische updates uitschakelen

Als u automatische updates voor een container of containers wilt uitschakelen, opent u het bestand /opt/sapcon/[SID of Agent GUID]/settings.json voor bewerken en definieert u de auto_update parameter voor elk van de containers als false.

Sap-gegevensconnectoragent handmatig bijwerken

Als u de connectoragent handmatig wilt bijwerken, moet u ervoor zorgen dat u de meest recente versies van de relevante implementatiescripts hebt uit de GitHub-opslagplaats van Microsoft Sentinel.

Zie de Microsoft Sentinel-oplossing voor het bijwerken van bestanden van SAP-toepassingen voor de agent voor gegevensconnector voor SAP-toepassingen voor meer informatie.

Voer op de machine van de gegevensconnectoragent het volgende uit:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

De Docker-container van de SAP-gegevensconnector op uw computer wordt bijgewerkt.

Zorg ervoor dat u controleert op andere beschikbare updates, zoals SAP-wijzigingsaanvragen.

De huidige versie van de gegevensconnectoragent controleren

Als u de huidige agentversie wilt controleren, voert u de volgende query uit vanaf de pagina Microsoft Sentinel-logboeken:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Zie voor meer informatie over de volgende items die in het voorgaande voorbeeld worden gebruikt, in de Kusto-documentatie:

Zie het overzicht van Kusto Query Language (KQL) voor meer informatie over KQL.

Andere resources:

Gerelateerde inhoud

Zie voor meer informatie: