Compartilhar via

Atualizar o agente do conector de dados do Microsoft Sentinel para aplicativos SAP

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel para SAP já existente para sua última versão para que você possa usar os últimos recursos e melhorias.

Durante o processo de atualização do agente do conector de dados, pode haver um breve tempo de inatividade de aproximadamente 10 segundos. Para garantir a integridade dos dados, uma entrada de banco de dados armazenará o carimbo de data/hora do último log buscado. Após a conclusão da atualização, o processo de busca de dados será retomado a partir do último log buscado, evitando duplicados e garantindo um fluxo de dados contínuo.

As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP, e não para aplicativos da Solução do Microsoft Sentinel para SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente, como você faria com qualquer outra solução do Microsoft Sentinel.

O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS.

Observação

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para o conector de dados sem agente do SAP.

Pré-requisitos

Antes de começar:

Configurar atualizações automáticas para o agente do conector de dados SAP (Versão Prévia)

Configurar atualizações automáticas para o agente do conector, seja para todos os contêineres existentes ou um contêiner específico.

Os comandos descritos nesta seção criam um trabalho cron que é executado diariamente, verifica se há atualizações e atualiza o agente para a última versão em GA. Contêineres executando uma versão de pré-visualização do agente mais recente que a última versão em GA não são atualizados. Os arquivos de log para atualizações automáticas estão localizados no computador coletor, em /var/log/sapcon-sentinel-register-autoupdate.log.

Depois que você configurar as atualizações automáticas para um agente uma vez, ele sempre estará configurado para atualizações automáticas.

Importante

Atualmente, a atualização automática do agente do conector de dados SAP está em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Configurar as atualizações automáticas para todos os contêineres existentes

Para ativar as atualizações automáticas para todos os contêineres existentes com um agente SAP conectado, execute o seguinte comando no computador coletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

Se você estiver trabalhando com vários contêineres, o trabalho cron atualizará o agente em todos os contêineres que existiam no momento em que você executou o comando original. Se você adicionar contêineres após criar o trabalho cron inicial, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, execute um comando extra para adicioná-los.

Configurar atualizações automáticas em um contêiner específico

Para configurar as atualizações automáticas para um contêiner ou contêineres específicos, como se você adicionou contêineres após executar o comando de automação original, execute o seguinte comando no computador coletor:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternativamente, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json, defina o auto_update parâmetro para cada um dos contêineres como true.

Desativar as atualizações automáticas

Para desativar as atualizações automáticas para um contêiner ou contêineres, abra o arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json para edição e defina o parâmetro auto_update para cada um dos contêineres como false.

Atualizar manualmente o agente conector de dados do SAP

Para atualizar manualmente o agente do conector, certifique-se de que você tenha as versões mais recentes dos scripts de implantação relevantes do repositório do Microsoft Sentinel no GitHub.

Para obter mais informações, confira Referência do arquivo de atualização do agente do conector de dados de aplicativos da Solução do Microsoft Sentinel para SAP.

No computador do agente do conector de dados, execute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

O contêiner do Docker do conector de dados SAP do seu computador será atualizado.

Certifique-se de verificar se há outras atualizações disponíveis, como solicitações de alteração do SAP.

Verificar a versão atual do agente do conector de dados

Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Confira mais informações sobre os seguintes itens usados no exemplo anterior, na documentação do Kusto:

Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos:

Conteúdo relacionado

Para saber mais, veja:

  • Last updated on