Atualizar o Microsoft Sentinel do agente do conector de dados das aplicações SAP

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo mostra-lhe como atualizar um Microsoft Sentinel já existente para o conector de dados SAP para a versão mais recente, para que possa utilizar as funcionalidades e melhorias mais recentes.

Durante o processo de atualização do agente do conector de dados, poderá haver um breve período de indisponibilidade de aproximadamente 10 segundos. Para garantir a integridade dos dados, uma entrada de base de dados armazena o carimbo de data/hora do último registo obtido. Após a conclusão da atualização, o processo de obtenção de dados é retomado a partir do último registo obtido, impedindo duplicados e garantindo um fluxo de dados totalmente integrado.

As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP e não para a solução Microsoft Sentinel para aplicações SAP. Para atualizar a solução com êxito, o agente tem de estar atualizado. A solução é atualizada separadamente, tal como faria com qualquer outra solução Microsoft Sentinel.

Os conteúdos neste artigo são relevantes para as suas equipas de segurança, infraestrutura e SAP BASIS .

Observação

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para o conector de dados sem agente SAP.

Pré-requisitos

Antes de começar:

Configurar atualizações automáticas para o agente do conector de dados SAP (Pré-visualização)

Configure as atualizações automáticas para o agente do conector, quer para todos os contentores existentes , quer para um contentor específico.

Os comandos descritos nesta secção criam uma tarefa cron que é executada diariamente, verifica a existência de atualizações e atualiza o agente para a versão mais recente do Agente Convidado. Os contentores que executem uma versão de pré-visualização do agente mais recente do que a versão mais recente do Agente Convidado não são atualizados. Os ficheiros de registo para atualizações automáticas estão localizados no computador recoletor, em /var/log/sapcon-sentinel-register-autoupdate.log.

Depois de configurar as atualizações automáticas para um agente uma vez, esta é sempre configurada para atualizações automáticas.

Importante

A atualização automática do agente do conector de dados SAP está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Configurar atualizações automáticas para todos os contentores existentes

Para ativar as atualizações automáticas para todos os contentores existentes com um agente SAP ligado, execute o seguinte comando no computador recoletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

Se estiver a trabalhar com vários contentores, a tarefa cron atualiza o agente em todos os contentores que existiam no momento em que executou o comando original. Se adicionar contentores depois de criar a tarefa cron inicial, os novos contentores não serão atualizados automaticamente. Para atualizar estes contentores, execute um comando adicional para os adicionar.

Configurar atualizações automáticas num contentor específico

Para configurar atualizações automáticas para um contentor ou contentores específicos, como, por exemplo, se tiver adicionado contentores depois de executar o comando de automatização original, execute o seguinte comando no computador recoletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Em alternativa, no ficheiro /opt/sapcon/[SID ou Agent GUID]/settings.json , defina o auto_update parâmetro para cada um dos contentores como true.

Desativar as atualizações automáticas

Para desativar as atualizações automáticas para um contentor ou contentores, abra o ficheiro /opt/sapcon/[SID ou Agent GUID]/settings.json para edição e defina o auto_update parâmetro para cada um dos contentores como false.

Atualizar manualmente o agente do conector de dados SAP

Para atualizar manualmente o agente do conector, certifique-se de que tem as versões mais recentes dos scripts de implementação relevantes do Microsoft Sentinel repositório do GitHub.

Para obter mais informações, veja Microsoft Sentinel solução para a referência do ficheiro de atualização do agente do conector de dados das aplicações SAP.

No computador do agente do conector de dados, execute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

O contentor docker do conector de dados SAP no seu computador é atualizado.

Certifique-se de que marcar para quaisquer outras atualizações disponíveis, como pedidos de alteração sap.

Verificar a versão atual do agente do conector de dados

Para verificar a versão atual do agente, execute a seguinte consulta na página Registos do Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Veja mais informações sobre os seguintes itens utilizados no exemplo anterior, na documentação do Kusto:

Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Consulta Kusto (KQL).

Outros recursos:

Conteúdo relacionado

Para saber mais, confira:

  • Last updated on