Atualizar o agente do conector de dados de aplicativos Microsoft Sentinel for SAP

Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel for SAP já existente para sua versão mais recente para que você possa usar os recursos e melhorias mais recentes.

Durante o processo de atualização do agente do conector de dados, pode haver um breve tempo de inatividade de aproximadamente 10 segundos. Para garantir a integridade dos dados, uma entrada de banco de dados armazena o carimbo de data/hora do último log buscado. Após a conclusão da atualização, o processo de busca de dados é retomado a partir do último log buscado, evitando duplicações e garantindo um fluxo de dados contínuo.

As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP e não para a solução Microsoft Sentinel para aplicativos SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente, como faria com qualquer outra solução Microsoft Sentinel.

O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS .

Pré-requisitos

Antes de começar:

• Verifique se você tem todos os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP. Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.

• Certifique-se de entender seus ambientes e arquitetura SAP e Microsoft Sentinel, incluindo as máquinas onde seus agentes de conector e coletores estão instalados.

Configurar atualizações automáticas para o agente do conector de dados SAP (Visualização)

Configure atualizações automáticas para o agente do conector, seja para todos os contêineres existentes ou para um contêiner específico.

Os comandos descritos nesta seção criam um trabalho cron que é executado diariamente, verifica se há atualizações e atualiza o agente para a versão mais recente do GA. Os contêineres que executam uma versão de visualização do agente mais recente do que a versão mais recente do GA não são atualizados. Os arquivos de log para atualizações automáticas estão localizados na máquina coletora, em /var/log/sapcon-sentinel-register-autoupdate.log.

Depois de configurar as atualizações automáticas para um agente uma vez, ele é sempre configurado para atualizações automáticas.

Configurar atualizações automáticas para todos os contêineres existentes

Para ativar as atualizações automáticas para todos os contêineres existentes com um agente SAP conectado, execute o seguinte comando na máquina coletora:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Se você estiver trabalhando com vários contêineres, o trabalho cron atualiza o agente em todos os contêineres que existiam no momento em que você executou o comando original. Se você adicionar contêineres depois de criar o trabalho cron inicial, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, execute um comando extra para adicioná-los.

Configurar atualizações automáticas em um contêiner específico

Para configurar atualizações automáticas para um contêiner ou contêineres específicos, como se você adicionou contêineres depois de executar o comando de automação original, execute o seguinte comando na máquina coletora:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Como alternativa, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json , defina o auto_update parâmetro para cada um dos contêineres como true.

Desativar atualizações automáticas

Para desativar as atualizações automáticas para um contêiner ou contêineres, abra o arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json para edição e defina o auto_update parâmetro para cada um dos contêineres como false.

Atualizar manualmente o agente do conector de dados SAP

Para atualizar manualmente o agente do conector, verifique se você tem as versões mais recentes dos scripts de implantação relevantes do repositório GitHub do Microsoft Sentinel.

Para obter mais informações, consulte Microsoft Sentinel solution for SAP applications data connector agent update file reference.

Na máquina do agente do conector de dados, execute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

O contêiner do Docker do conector de dados SAP em sua máquina é atualizado.

Certifique-se de verificar se há outras atualizações disponíveis, como solicitações de alteração do SAP.

Verifique a versão atual do agente do conector de dados

Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Veja mais informações sobre os seguintes itens usados no exemplo anterior, na documentação do Kusto:

• em que operador
• Operador de resumo
• Operador do projeto
• arg_max() função de agregação
• make_set() função de agregação

Para obter mais informações sobre o KQL, consulte Visão geral da Kusto Query Language (KQL).

Outros recursos:

• Referência Rápida da KQL
• Kusto Query Recursos de aprendizagem de línguas

Conteúdos relacionados

Para obter mais informações, consulte:

• Implantar a solução Microsoft Sentinel para aplicativos SAP
• Monitore a integridade do seu sistema SAP
• Solucionar problemas de implantação da solução Microsoft Sentinel para aplicativos SAP