Partager via

Guide de migration de l'agent SAP conteneurisé vers un connecteur de données sans agent

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article décrit les étapes nécessaires à la migration de l’agent SAP conteneurisé vers le connecteur de données sans agent pour microsoft Sentinel Solution pour les applications SAP.

Important

L’agent de connecteur de données pour SAP est en cours d’obsolétude et sera définitivement désactivé d’ici le 30 septembre 2026. Nous vous recommandons de migrer vers le connecteur de données sans agent. Découvrez-en plus sur l’approche sans agent dans notre article de blog.

Pourquoi passer au connecteur de données sans agent ?

La migration de l’agent SAP conteneurisé vers le connecteur de données sans agent est un exercice simple qui peut être effectué en quelques étapes. Le connecteur sans agent offre plusieurs avantages :

  • Déploiement simplifié (empreinte zéro sur SAP NetWeaver)
  • Réduction de la surcharge de maintenance (aucune gestion des conteneurs et mises à jour SAP standard)
  • Architecture future basée sur SAP Integration Suite et SAP Cloud Connector
  • Scalabilité améliorée

En résumé, le processus de migration implique le déploiement du nouveau connecteur sans agent logiciel côte à côte avec l'agent conteneurisé existant, la validation de la récupération des logs à partir du nouveau connecteur et enfin le déclassement de l'agent conteneurisé obsolète.

Votre investissement existant dans la solution Microsoft Sentinel pour les règles d’analyse SAP, les classeurs et les playbooks reste fonctionnel avec le connecteur de données sans agent. L’amélioration des fonctions kql utilisées dans la solution a été appliquée pour prendre en charge les deux méthodes d’ingestion de données côte à côte. Ils utilisent l’opérateur d’union approximative pour combiner les données des deux sources, peu importe s’ils existent.

Chemin de migration

  1. Évaluer : passez en revue votre déploiement d’agent SAP conteneurisé existant pour identifier les systèmes SAP surveillés, les types de journaux collectés et toutes les configurations personnalisées.
  2. Révision : Familiarisez-vous avec les approches de parité des fonctionnalités entre l’agent conteneurisé et le connecteur de données sans agent, y compris les options de configuration et les fonctionnalités.
  3. Déployer : configurez le connecteur de données sans agent en suivant le guide de déploiement.
  4. Valider : vérifiez que les journaux sont collectés correctement à partir de vos systèmes SAP à l’aide du connecteur de données sans agent. Utilisez des requêtes kql pour vérifier l’ingestion de journal. 
    let startTime = ago(1h);
let endTime = now();
ABAPAuditLog
| where TimeGenerated between (startTime .. endTime)
| summarize Count = count() by SourceSystem, bin(TimeGenerated, 5m)
| order by TimeGenerated desc
  5. Surveiller : Exécutez à la fois l'agent conteneurisé et le connecteur de données sans agent en parallèle pendant une période définie pour garantir la stabilité et l'exhaustivité de la collecte des journaux de logs.
  6. Désaffectation : une fois que vous avez validé que le connecteur de données sans agent fonctionne correctement, passez à la désactivation de l’agent SAP conteneurisé. Pour plus d’informations, consultez l’article « Arrêter la collecte de données SAP ».

Important

Passez en revue les autorisations de l’utilisateur et du rôle Sentinel sur vos systèmes SAP utilisés avec l’agent conteneurisé. Le connecteur de données sans agent nécessite moins d’autorisations, mais différentes par rapport à l’agent SAP conteneurisé. Reportez-vous au guide de configuration pour plus d’informations et l’exemple de rôle SAP pour les autorisations minimales.

Parité des fonctionnalités

Le connecteur de données sans agent fournit une parité de fonctionnalité intégrée avec l’agent SAP conteneurisé pour les cas d’usage les plus importants concernant les règles d’analyse et les classeurs. Pour plus d’informations, consultez la référence de contenu .

Toutes les règles et classeurs d’analyse basés sur les sources SAP sous-jacentes mentionnées sur la référence de table restent fonctionnels sans aucune modification.

Ces sources incluent, mais ne sont pas limitées aux logs suivants :

  • SAPcon - Journal d’audit
  • SAPcon - Journal des documents modifiés
  • Détails de l'utilisateur et de l'autorisation utilisateur

L’étendue de la solution peut être étendue via des modèles d’extensions disponibles pour le connecteur de données sans agent. Les watchlists et playbooks restent entièrement fonctionnels sans aucune modification.

Les détections au niveau du système d’exploitation ou de base de données SAP HANA sont hors de portée pour la comparaison, car elles sont couvertes par leurs propres connecteurs dans Microsoft Sentinel.

Étapes suivantes

  • Last updated on