Freigeben über

Containerisierter SAP-Agent zum Migrationshandbuch für agentlose Datenkonnektore

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel werden die Schritte beschrieben, die erforderlich sind, um vom containerisierten SAP-Agent zum agentlosen Datenconnector für Microsoft Sentinel-Lösung für SAP-Anwendungen zu migrieren.

Von Bedeutung

Der Data Connector Agent für SAP wird abgekündigt und zum 30. September 2026 dauerhaft deaktiviert. Wir empfehlen, auf den agentlosen Datenkonnektor zu migrieren. Erfahren Sie mehr über den agentenlosen Ansatz in unserem Blogbeitrag.

Warum zum Agentless-Datenkonnektor wechseln?

Die Migration vom containerisierten SAP-Agent zum agentlosen Datenconnector ist eine einfache Übung, die in einigen Schritten ausgeführt werden kann. Der Agentless Connector bietet mehrere Vorteile:

  • Vereinfachte Bereitstellung (ohne Auswirkungen auf SAP NetWeaver)
  • Reduzierter Wartungsaufwand (keine Containerverwaltung und standardmäßige SAP-Updates)
  • Zukunftssichere Architektur basierend auf SAP Integration Suite und SAP Cloud Connector
  • Verbesserte Skalierbarkeit

Zusammenfassend umfasst der Migrationsprozess die Bereitstellung des neuen agentlosen Connectors parallel zu dem vorhandenen containerisierten Agenten, die Überprüfung des Protokollabrufs vom neuen Connector sowie die Außerbetriebnahme des veralteten containerisierten Agenten.

Ihre vorhandene Investition in die Microsoft Sentinel-Lösung für SAP-Analyseregeln, Arbeitsmappen und Playbooks bleibt mit dem agentlosen Datenkonnektor funktionsfähig. Die Erweiterung der in der Lösung verwendeten kql-Funktionen wurde angewendet, um beide Datenaufnahmemethoden nebeneinander zu unterstützen. Sie verwenden den Fuzzy Union-Operator, um Daten aus beiden Quellen zu kombinieren, unabhängig davon, ob sie vorhanden sind.

Migrationspfad

  1. Bewerten: Überprüfen Sie Ihre vorhandene containerisierte SAP-Agent-Bereitstellung, um überwachte SAP-Systeme, gesammelte Protokolltypen und alle benutzerdefinierten Konfigurationen zu identifizieren.
  2. Überprüfung: Machen Sie sich mit den Ansätzen für die Featureparität zwischen dem containerisierten Agent und dem agentlosen Datenconnector vertraut, einschließlich Konfigurationsoptionen und Funktionen.
  3. Bereitstellen: Richten Sie den agentlosen Datenconnector nach dem Bereitstellungshandbuch ein.
  4. Validieren: Stellen Sie sicher, dass Protokolle ordnungsgemäß von Ihren SAP-Systemen mithilfe des agentlosen Datenconnectors erfasst werden. Verwenden Sie kql-Abfragen, um die Protokollaufnahme zu überprüfen. 
    let startTime = ago(1h);
let endTime = now();
ABAPAuditLog
| where TimeGenerated between (startTime .. endTime)
| summarize Count = count() by SourceSystem, bin(TimeGenerated, 5m)
| order by TimeGenerated desc
  5. Monitor: Führen Sie sowohl den containerisierten Agent als auch den agentlosen Datenkonnektor parallel für einen definierten Zeitraum aus, um die Stabilität und Vollständigkeit der Protokollsammlung sicherzustellen.
  6. Außerbetriebnahme: Nachdem Sie überprüft haben, dass der agentlose Datenconnector ordnungsgemäß funktioniert, fahren Sie mit der Außerbetriebnahme des containerisierten SAP-Agents fort. Ausführliche Informationen finden Sie im Artikel "Stop SAP data collection".

Von Bedeutung

Überprüfen Sie die Autorisierungen des Sentinel-Benutzers und der Rolle für Ihre SAP-Systeme, die mit dem containerisierten Agent verwendet werden. Der agentlose Datenconnector erfordert weniger, aber unterschiedliche Autorisierungen im Vergleich zum containerisierten SAP-Agent. Ausführliche Informationen und SAP-Rollenbeispiele für Mindestautorisierungen finden Sie im Konfigurationshandbuch .

Featureparität

Der agentlose Datenkonnektor bietet integrierte Featureparität mit dem containerisierten SAP-Agent für die wichtigsten Anwendungsfälle in Bezug auf Analyseregeln und Arbeitsmappen. Weitere Informationen finden Sie in der Inhaltsreferenz .

Alle Analyseregeln und Arbeitsmappen, die auf den zugrunde liegenden SAP-Quellen basieren, die auf der Tabellenreferenz erwähnt werden, bleiben ohne Änderungen funktionsfähig.

Diese Quellen umfassen unter anderem die folgenden Protokolle:

  • SAPcon - Prüfprotokoll
  • SAPcon - Protokoll zum Ändern von Dokumenten
  • Details zur Benutzer- und Benutzerautorisierung

Der Lösungsbereich kann über Erweiterungsmuster erweitert werden, die für den agentlosen Datenconnector verfügbar sind. Watchlists und Playbooks bleiben ohne Änderungen voll funktionsfähig.

SAP HANA-Datenbank- oder Betriebssystemebenen-Erkennungen liegen außerhalb des Vergleichs, da sie von ihren eigenen Konnektoren in Microsoft Sentinel abgedeckt sind.

Nächste Schritte

  • Last updated on