この記事では、最新の機能と機能強化を使用できるように、既存の SAP 向け Microsoft Sentinel データ コネクタを最新バージョンに更新する方法について説明します。
データ コネクタ エージェントの更新プロセス中、約 10 秒の短いダウンタイムが発生する可能性があります。 データ整合性を確保するために、データベース エントリには、最後にフェッチされたログのタイムスタンプが格納されます。 更新が完了すると、データ フェッチ プロセスは、最後にフェッチされたログから再開され、重複を防ぎ、シームレスなデータ フローが確保されます。
この記事で説明する自動または手動の更新は、SAP コネクタ エージェントにのみ関係し、SAP アプリケーション向け Microsoft Sentinel ソリューションには関係しません。 ソリューションを正常に更新するには、エージェントが最新である必要があります。 他の Microsoft Sentinel ソリューションと同様、このソリューションは個別に更新されます。
この記事の内容は、セキュリティ、インフラストラクチャ、SAP BASIS チームに関係します。
注
この記事はデータ コネクタ エージェントにのみ関連し、 SAP エージェントレス データ コネクタ (制限付きプレビュー) には関係ありません。
前提条件
開始する前に次の操作を実行してください。
SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件をすべて満たしていることを確認してください。 詳しくは、「SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件」をご覧ください。
必ず、コネクタ エージェントとコレクターがインストールされているマシンを含め、SAP および Microsoft Sentinel の環境とアーキテクチャを理解しておいてください。
SAP データ コネクタ エージェントの自動更新 (プレビュー) を構成する
既存のすべてのコンテナーまたは 特定のコンテナーに対して、コネクタ エージェントの自動更新を構成します。
このセクションで説明するコマンドは、毎日実行され、更新プログラムをチェックし、エージェントを最新の GA バージョンに更新する cron ジョブを作成します。 最新の GA バージョンよりも新しいエージェントのプレビュー バージョンを実行しているコンテナーは更新されません。 自動更新のログ ファイルは、コレクター マシンの /var/log/sapcon-sentinel-register-autoupdate.log にあります。
エージェントの自動更新を 1 回構成すると、常に自動更新用に構成されます。
重要
SAP データ コネクタ エージェントの自動更新は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
既存のすべてのコンテナーに対して自動更新を構成する
SAP エージェントが接続されている既存のすべてのコンテナーに対して自動更新を有効にするには、コレクター マシンで次のコマンドを実行します。
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
複数のコンテナーを使用している場合、cron ジョブにより、元のコマンドを実行した時点で存在していたすべてのコンテナーでエージェントが更新されます。 最初の cron ジョブを作成した後にコンテナーを追加すると、新しいコンテナーは自動的に更新されません。 これらのコンテナーを更新するには、追加のコマンドを実行して、それらを追加します。
特定のコンテナーで自動更新を構成する
元のオートメーション コマンドを実行した後にコンテナーを追加した場合などに、1 つまたは複数の特定のコンテナーに対して自動更新を構成するには、コレクター マシンで次のコマンドを実行します。
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
または、"/opt/sapcon/[SID または Agent GUID]/settings.json" ファイルで、各コンテナーの パラメーターを auto_update として定義します。true
自動更新を無効にする
1 つまたは複数のコンテナーに対して自動更新を無効にするには、編集用に "/opt/sapcon/[SID または Agent GUID]/settings.json" ファイルを開き、各コンテナーの パラメーターを auto_update として定義します。false
SAP データ コネクタ エージェントを手動で更新する
コネクタ エージェントを手動で更新するには、Microsoft Sentinel GitHub リポジトリから関連するデプロイ スクリプトの最新バージョンを入手していることを確認します。
詳細については、「SAP アプリケーション向け Microsoft Sentinel ソリューションデータ コネクタ エージェントの更新ファイル リファレンス」を参照してください。
データ コネクタ エージェント マシンで、次のコマンドを実行します。
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
マシン上の SAP データ コネクタ Docker コンテナーが更新されます。
SAP 変更要求など、他の使用可能な更新プログラムがないかどうかを必ず確認してください。
現在のデータ コネクタ エージェントのバージョンを確認する
現在のエージェントのバージョンを確認するには、Microsoft Sentinel の [ログ] ページから次のクエリを実行します。
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
前述の例で使用した次の項目の詳細については、Kusto ドキュメントを参照してください。
KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。
その他のリソース:
関連するコンテンツ
詳細については、以下を参照してください: