你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了从容器化 SAP 代理迁移到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的无代理数据连接器所需的步骤。
重要
SAP的数据连接器代理正在被 弃用 ,并将在 2026年9月30日前永久禁用。 我们建议您 迁移到无代理数据连接器。 想了解更多关于无代理方法的信息,请参阅我们的 博客文章。
为什么迁移到无代理数据连接器?
从容器化 SAP 代理迁移到无代理数据连接器是一个简单的练习,可通过几个步骤完成。 无代理连接器具有多种优势:
- 简化部署(SAP NetWeaver 上的零占用空间)
- 减少维护开销(不再有容器管理和标准 SAP 更新)
- 基于 SAP Integration Suite 和 SAP Cloud Connector 的面向未来架构
- 改进的可伸缩性
简而言之,迁移过程包括同时部署新的无代理连接器与现有的容器化代理,验证从新连接器检索日志,最后弃用现有的容器化代理。
你在适用于 SAP 的 Microsoft Sentinel 解决方案分析规则、工作簿和剧本中的现有投资仍然可以与无代理数据连接器一起正常工作。 对解决方案中使用的 kql 函数 的增强功能进行了应用,以支持两种并行数据引入方法。 他们使用模糊联合运算符来合并来自两个源的数据(无论那些数据是否存在)。
迁移路径
- 评估:查看现有的容器化 SAP 代理部署,以确定监视的 SAP 系统、收集的日志类型以及任何自定义配置。
- 查看:熟悉容器化代理与无代理数据连接器之间的功能对等方法,包括配置选项和功能。
- 部署:按照 部署指南设置无代理数据连接器。
-
验证:确保使用无代理数据连接器从 SAP 系统正确收集日志。 使用 kql 查询验证日志引入。
let startTime = ago(1h); let endTime = now(); ABAPAuditLog | where TimeGenerated between (startTime .. endTime) | summarize Count = count() by SourceSystem, bin(TimeGenerated, 5m) | order by TimeGenerated desc - 监视:在定义的时间段内并行运行容器化代理和无代理数据连接器,以确保日志收集的稳定性和完整性。
- 停用:验证无代理数据连接器正常运行后,继续停用容器化 SAP 代理。 有关详细信息,请参阅“停止 SAP 数据收集”一文。
功能对等
无代理的数据连接器为大多数重要的分析规则和工作簿用例提供与容器化 SAP 代理相同的内置功能一致性。 可通过可用于无代理数据连接器的扩展模式来涵盖不太相关的功能。 监视列表和操作手册在无任何更改的情况下仍然全面正常运行。 但是,可以考虑使用 SAP Integration Suite 的功能进一步简化 SOAR 工作流。 请参阅 此集成流 以获取 SAP 用户阻止的信息。
重要
查看用于容器化代理的 SAP 系统上 Sentinel 用户和角色的授权。 与容器化 SAP 代理相比,无代理数据连接器需要更少的但不同的授权。 有关最低授权的详细信息和 SAP 角色示例,请参阅 配置指南 。
基于 表引用 上提到的基础 SAP 源构建的所有分析规则和工作簿都保持正常运行,无需进行任何更改。
这些源包括但不限于以下 日志:
- SAPcon - 审核日志
- SAPcon - 更改文档日志
- 用户和用户授权详细信息
SAP HANA 数据库或操作系统级别的检测不在比较范围之内,因为它们由 Microsoft Sentinel 中的专用连接器处理。